Ciscoは、現在攻撃で悪用されているCisco IOSおよびIOS XEソフトウェアの重大度の高いゼロデイ脆弱性に対処するためのセキュリティアップデートを公開しました。
CVE-2025-20352として追跡されているこの脆弱性は、脆弱なIOSおよびIOS XEソフトウェアのSimple Network Management Protocol(SNMP)サブシステムに存在するスタックベースのバッファオーバーフローの弱点が原因であり、SNMPが有効になっているすべてのデバイスに影響します。
認証済みのリモート攻撃者が低い権限でこの脆弱性を悪用すると、パッチが適用されていないデバイスでサービス拒否(DoS)状態を引き起こすことができます。一方、高い権限を持つ攻撃者は、脆弱なCisco IOS XEソフトウェアを実行しているシステムでrootユーザーとしてコードを実行することで、完全な制御を得ることができます。
「攻撃者は、細工されたSNMPパケットをIPv4またはIPv6ネットワーク経由で影響を受けるデバイスに送信することで、この脆弱性を悪用する可能性があります」とCiscoは水曜日のアドバイザリで述べています。
「Ciscoプロダクトセキュリティインシデント対応チーム(PSIRT)は、ローカル管理者の認証情報が侵害された後、この脆弱性が実際に悪用されたことを確認しました。Ciscoは、お客様がこの脆弱性を修正するために、修正版ソフトウェアへのアップグレードを強く推奨します。」
本日公開されたパッチを適用する以外にこの脆弱性に対処する回避策はありませんが、Ciscoは、直ちに脆弱なソフトウェアをアップグレードできない管理者に対して、影響を受けるシステムのSNMPアクセスを信頼できるユーザーに制限することで一時的に問題を緩和できると述べています。
「このアドバイザリで説明されているように、将来的なリスクを回避し、この脆弱性を完全に修正するために、Ciscoはお客様に対し、本アドバイザリで示された修正版ソフトウェアへのアップグレードを強く推奨します」と同社は警告しています。
本日、Ciscoは他の13件のセキュリティ脆弱性にもパッチを適用しました。その中には、概念実証のエクスプロイトコードが公開されている2件も含まれています。
1つ目は、CVE-2025-20240として追跡されているCisco IOS XEの反射型クロスサイトスクリプティング(XSS)脆弱性で、認証されていないリモート攻撃者が脆弱なデバイスからCookieを盗むために利用できます。
2つ目は、CVE-2025-20149として追跡されているサービス拒否(DoS)脆弱性で、認証済みのローカル攻撃者が影響を受けるデバイスを強制的に再起動させることができます。
5月には、同社は最大深刻度のIOS XE脆弱性も修正しました。この脆弱性はワイヤレスLANコントローラーに影響し、認証されていない攻撃者がハードコードされたJSON Web Token(JWT)を使用してリモートでデバイスを乗っ取ることを可能にしていました。
