シスコは、同社のIOSおよびIOS XEソフトウェアに存在する重大なゼロデイ脆弱性が、現実世界の攻撃で脅威アクターによって積極的に悪用されていることを明らかにしました。

この脆弱性はCVE-2025-20352として追跡されており、Simple Network Management Protocol (SNMP) サブシステムに影響を与えます。攻撃者の権限レベルに応じて、サービス拒否 (DoS) 攻撃とリモートコード実行 (RCE) の両方を可能にします。

**重大なSNMPスタックオーバーフローが二重の攻撃シナリオを可能に**

この脆弱性は、SNMPサブシステム内のスタックオーバーフロー状態に起因し、すべてのバージョンのSNMPプロトコル実装に影響を与えます。攻撃者は、IPv4またはIPv6ネットワークを介して、特別に細工されたSNMPパケットを脆弱なデバイスに送信することで、この欠陥を悪用できます。

セキュリティ上の問題は、攻撃者のアクセスレベルに基づいて2つの異なる攻撃シナリオを提示します。

* **低権限の攻撃者:** SNMPv2cの読み取り専用コミュニティ文字列、または有効なSNMPv3ユーザー認証情報を持つ攻撃者は、サービス拒否状態を引き起こし、影響を受けるシステムを再起動させ、ネットワーク運用を中断させることができます。
* **高権限の攻撃者:** SNMPv1またはv2cの読み取り専用コミュニティ文字列と、管理者または特権レベル15の認証情報を組み合わせた攻撃者は、rootユーザーとして完全なリモートコード実行を達成し、侵害されたシステムを完全に制御する可能性があります。

この脆弱性は、脆弱なバージョンのIOSおよびIOS XEソフトウェアを実行している広範囲のCiscoデバイスに影響を与えます。Meraki MS390およびMeraki CS 17以前のバージョンを実行しているCisco Catalyst 9300シリーズスイッチも影響を受けます。

シスコは、SNMPが有効になっているすべてのデバイスは、影響を受けるオブジェクト識別子 (OID) を明示的に除外していない限り、脆弱であると見なすべきであることを確認しました。ネットワーク管理者は、CLIコマンドを使用してSNMP設定を確認することで、デバイスが脆弱であるかどうかを判断できます。SNMPv1およびv2cの場合、`show running-config include snmp-server community`コマンドでSNMPが有効になっているかどうかが明らかになります。SNMPv3は、`show running-config include snmp-server group`および`show snmp user`コマンドを使用して確認できます。

シスコの製品セキュリティインシデント対応チーム (PSIRT) は、ローカル管理者認証情報の侵害を受けて、この脆弱性が積極的に悪用されていることを確認しました。同社は、テクニカルアシスタンスセンターのサポートケースの解決中に進行中の攻撃を発見し、このセキュリティ上の欠陥がもたらす現実世界の脅威を浮き彫りにしました。

この脆弱性は、CVSS 3.1ベーススコアが7.7で、高 severityに分類されており、攻撃ベクトルはネットワーク、複雑度は低、スコープは変更済みです。この欠陥は、スタックベースのバッファオーバーフロー状態に対するCWE-121に分類されており、根本的なメモリ破損問題の重大性を示しています。

シスコは、この脆弱性に対処するソフトウェアアップデートをリリースしており、修正されたリリースへの即時アップグレードを強く推奨しています。回避策はありませんが、管理者は特定の影響を受けるOIDを無効にし、SNMPアクセスを信頼できるユーザーのみに制限することで、緩和策を実装できます。同社は、ソフトウェアアップデートの準備中に、`show snmp host`コマンドを使用して影響を受けるシステムを監視することを推奨しています。

—
**元記事:** [Cisco IOS 0-Day RCE Vulnerability Actively Targeted](https://gbhackers.com/cisco-ios-0-day-rce-vulnerability-actively-targeted/)