Une vulnérabilité dans Cisco IOS et IOS XE permet aux attaquants de désactiver à distance les équipements réseau ou d’en prendre entièrement le contrôle. Les pirates exploitent déjà activement cette faille. Il n’existe aucune solution de contournement fonctionnelle, mais Cisco a publié des mises à jour de sécurité.
Cisco signale une faille de sécurité grave dans la fonctionnalité SNMP (Simple Network Management Protocol) des appareils fonctionnant sous IOS ou IOS XE. La vulnérabilité permet aux attaquants disposant d’identifiants valides de provoquer un déni de service (DoS) ou même d’obtenir le contrôle complet de l’appareil, même avec des privilèges limités.
Du DoS à la prise de contrôle complète
Une attaque DoS nécessite des droits d’accès limités. Dans ce cas, l’attaquant peut faire redémarrer l’appareil et ainsi perturber le service réseau. En revanche, celui qui dispose de droits d’administrateur peut exécuter son propre code avec des privilèges root (accès complet au système). Pour cela, les attaquants doivent envoyer un paquet SNMP modifié via une connexion IPv4 ou IPv6.
lire aussi
Cisco corrige une vulnérabilité critique dans son Secure Firewall Management Center
Selon Cisco, l’erreur est due à un débordement de pile dans le composant SNMP du système d’exploitation. Toutes les versions SNMP (v1, v2c et v3) sont vulnérables. Cisco a découvert l’erreur lors du traitement d’un cas de support. Après une intrusion avec des références d’administrateur, la vulnérabilité s’est révélée exploitée.
Exploitation active
Cisco a ainsi constaté immédiatement une exploitation active dans la nature. L’entreprise recommande vivement à ses clients de mettre à jour leurs systèmes vers une version corrigée. Aucune solution de contournement n’est disponible, bien que des mesures d’atténuation soient possibles, comme la limitation de l’accès SNMP aux utilisateurs de confiance et l’exclusion de certains OID.
La vulnérabilité est enregistrée sous CVE-2025-20352 et a un score CVSS de 7,7. L’erreur concerne un débordement de tampon classique. Environ 2 millions d’équipements Cisco ont SNMP disponible via Internet et sont donc potentiellement vulnérables.
Vérification et mise à jour
Cisco IOS et IOS XE dans différentes versions sont affectés. Des modèles spécifiques comme le Meraki MS390 et la série Cisco Catalyst 9300 avec Meraki CS 17 ou inférieur sont également vulnérables. IOS XR et NX-OS ne sont pas affectés.
Les administrateurs peuvent vérifier si SNMP est actif via les commandes CLI show running-config | include snmp-server community (pour SNMPv1/v2c) et show snmp user (pour SNMPv3).
Cisco propose des configurations d’atténuation qui bloquent l’utilisation d’OID vulnérables, bien que cela puisse affecter le fonctionnement des fonctions SNMP. Pour une protection structurelle, Cisco recommande une mise à niveau vers une version dans laquelle l’erreur est corrigée. Vérifier si un système est vulnérable peut se faire avec le Cisco Software Checker.