آسیب پذیری

آسیب‌پذیری بحرانی SNMP در Cisco IOS/IOS XE | جزئیات و راهکارها (CVE-2025-20352)

آسیب پذیری
امتیاز:
( 0 امتیاز )
ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

در تاریخ 24 سپتامبر 2025، یک آسیب‌پذیری بحرانی در زیرسیستم SNMPِ سیستم‌عامل‌های Cisco IOS و IOS XE با شناسه‌ی CVE-2025-20352 منتشر و در NVD ثبت شد. این نقص که ناشی از یک stack-based buffer overflow  است، می‌تواند منجر به Denial-of-Service یا اجرای کد دلخواه با دسترسی root شود و گزارش شده که در حملات واقعی مورد بهره‌برداری قرار گرفته است.

آشنایی با Cisco IOS/IOS XE و پروتکل SNMP پیش از بررسی آسیب‌پذیری

سیسکو (Cisco) یکی از بزرگ‌ترین تولیدکنندگان تجهیزات شبکه در دنیاست و سیستم‌عامل‌های Cisco IOS و IOS XE قلب مدیریت و کارکرد روترها و سوئیچ‌های این شرکت را تشکیل می‌دهند. این سیستم‌عامل‌ها امکاناتی مانند مسیریابی، مدیریت شبکه و امنیت را در اختیار مدیران قرار می‌دهند. یکی از پروتکل‌های کلیدی در این بستر، SNMP (Simple Network Management Protocol) است که برای مانیتورینگ و مدیریت دستگاه‌های شبکه استفاده می‌شود. اما همین پروتکل مدیریتی، اگر به‌درستی ایمن‌سازی نشود یا دارای باگ نرم‌افزاری باشد، می‌تواند نقطه‌ای حیاتی برای نفوذ مهاجمان شود. آسیب‌پذیری جدید با شناسه CVE-2025-20352 دقیقاً چنین نقطه ضعفی در SNMPِ IOS/IOS XE را هدف قرار داده است و خطر اجرای کد از راه دور (RCE) یا ایجاد اختلال (DoS) را به همراه دارد.

شرح فنی آسیب‌پذیری

  • نوع آسیب‌پذیری:  stack-based buffer overflow در زیرسیستم SNMP.
  • وابستگی‌ها / پیش‌شرط بهره‌برداری: مهاجم باید از SNMPv1/v2c دارای community string (read-only) یا اعتبارنامه‌های معتبر SNMPv3 استفاده کند تا بتواند بسته‌ی ساخته‌شده را ارسال کند. در حالت مهاجم با دسترسی کم، امکان ایجاد DoS (راه‌اندازی مجدد/ crash دستگاه) وجود دارد. در صورت داشتن دسترسی‌های مدیریتی (privilege 15) و اعتبارنامه‌های مورد نیاز، مهاجم می‌تواند اجرای کد با سطح root انجام دهد.
  • روش حمله: ارسال بسته SNMP دست‌کاری‌شده روی IPv4/IPv6 به هدفِ دارنده SNMP فعال که overflow را تحریک می‌کند.
  • نمره CVSS : گزارش‌ها و NVD نمره CVSS حدود 7.7 (High) را ذکر می‌کنند.

دامنه‌ی تأثیر و دستگاه‌های شناخته‌شده

این نقص تمام دستگاه‌هایی را که SNMP در آن‌ها فعال است و از نسخه‌های آسیب‌پذیر IOS/IOS XE استفاده می‌کنند را در بر می‌گیرد. برخی منابع به تأثیر روی خانواده‌هایی مثل Meraki MS390 و Catalyst 9300 (در برخی ورژن‌ها) اشاره کرده‌اند. با این حال فهرست کامل وابسته به نسخه‌های دقیق نرم‌افزاری است . بنابراین بررسی فهرست اصلاحیه‌ی رسمی Cisco برای تطابق با مدل/نسخه‌ی شما ضروری است.

شواهد بهره‌برداری

سازنده (Cisco) و چند مرکز واکنش امنیتی ملی از جمله برخی گزارش‌های دولتی/بهداشتی درباره‌ی بهره‌برداری فعال در فضای واقعی هشدار داده‌اند و توصیه به اقدام فوری کرده‌اند. تحلیل‌ها نشان می‌دهد که مجموعه‌ای از حملات واقعی از این نقص برای ایجاد DoS یا تلاش برای ارتقای سطح دسترسی استفاده کرده‌اند. بنابراین این مسأله صرفاً نظری نیست.

توصیه‌های فوری (اقدامات اضطراری)

این بخش را با اولویت patch تا «کاهش‌خطر» بخوانید. اعمال فوری ضروری است.

  1. فوراً patch  اعمال کنید
    • Cisco به‌روزرسانی‌های امنیتی منتشر کرده است. نصب آخرین آپدیت‌های رسمی Cisco برای نسخه‌ی IOS/IOS XE اولین و مهم‌ترین اقدام است. (همیشه از بسته‌های رسمی Cisco استفاده کنید).
  2. در صورت عدم امکان پَچ فوری برای کاهش‌خطر موقت
    • در صورت امکان SNMP را تا زمان patch غیرفعال کنید)اگر سرویس مدیریتی ضروری نیست(.
    • دسترسی SNMP را محدود به آدرس‌‌های مدیریتی مشخص کنید ) ACL  روی رابط‌های مدیریتی، مدیریت از طریق شبکه‌های جداگانه(.
    • SNMPv1/v2c  را کنار بگذارید یا community strings ضعیف را حذف/تغییر دهید. اگر مجبور به استفاده از SNMP هستید، مهاجرت به SNMPv3 (authPriv)  با رمزنگاری و کلیدهای قوی را در اولویت قرار دهید.
    • دسترسی مدیریتی (privilege 15) را محدود کنید و ثبت لاگ تغییرات مربوط به SNMP  را فعال نمایید.
      (نکته: برخی منابع گزارش داده‌اند که Cisco موقتا کاهش‌خطرهایی پیشنهاد کرده اما بهترین اقدام نصب پَچ است)
  3. ایزوله و مانیتور
    • ترافیک SNMP غیرمنتظره را در دیواره‌‌‌ی آتش یا IDS/IPS شناسایی و بلاک کنید.
    • قواعد تشخیص رفتارهای غیرمعمول SNMP را در SIEM/IDS اعمال کنید (مثلاً تکرار بسته‌های SNMP، درخواست‌های از منابع غیرمنتظره، یا بسته‌های با طول غیرعادی).
  4. Inventory و asset management
    • فهرست همه دستگاه‌های Cisco با SNMP فعال و نسخه‌ی IOS/IOS XE آن‌ها را تهیه کنید و اولویت‌بندی برای patching انجام دهید.
  5. بررسی لاگ‌ها و Indicators of Compromise (IoC)
    • بررسی لاگ‌های SNMP، syslog  و لاگ‌های مدیریتی برای نشانه‌ی‌ درخواست‌های SNMP دست‌کاری‌شده یا ریبوت‌های ناگهانی در دستگاه‌ها. در صورت مشاهده رفتار مشکوک، دستگاه را از شبکه مدیریت جدا و برای فورنزیک آماده کنید.

چگونه بدافزاریا مهاجم ممکن است از این نقص بهره ببرد؟

مهاجم با داشتن community string یا credential مناسب می‌تواند بسته SNMP را طوری بسازد که overflow رخ دهد. در حالت دسترسی پایین موجب راه‌اندازی مجدد (DoS) و در صورت داشتن دسترسی مدیریتی باعث اجرای کد با سطح root شود. پس دسترسی‌ها و credentialها، نقش کلیدی در شدت حمله دارند.

تشخیص و شکار تهدید (Hunting)

  • شاخص‌ها: افزایش درخواست‌های SNMP از آدرس‌های غیرمنتظره، درخواست‌های با سایزهای نامعمول، تغییرات ناگهانی در میزان لاگ خطاهای SNMP، ریبوت/کرش‌های مکرر.
  • اقدام فورنزیک: در صورت شناسایی حمله، فوراً تصویر (backup) از پیکربندی و لاگ‌ها تهیه کنید، دستگاه را ایزوله کنید و با تیم PSIRT یا CERT محلی مشورت نمایید.

نکات عملیاتی برای تیم‌های شبکه و امنیت

  • فرایند پَچینگ: ترتیب‌گذاری دارایی‌ها (criticality)، اجرا در محیط تست، انتشار مرحله‌ای و نظارت پس از پَچ.
  • مستندسازی و اطلاع‌رسانی: به تیم‌های داخلی و ذی‌نفعان اطلاع دهید؛ برای سیستم‌های تحت قرارداد (تأمین‌کنندگان، MSPها) سیگنال هشدار ارسال کنید.
  • بررسی تنظیمات مدیریت از راه دور: به‌خصوص اگر مدیریت از اینترنت/شبکه‌های عمومی مجاز است، دسترسی‌ها را محدود و کنترل کنید.

نتیجه‌گیری

CVE-2025-20352  یک آسیب‌پذیری بحرانی و عملیاتی است:  stack overflow در SNMP که می‌تواند به DoS یا اجرای کد با سطح root بینجامد و گزارش‌هایی از بهره‌برداری فعال در دنیای واقعی وجود دارد. اولویت شما باید نصب patch های رسمی Cisco باشد. در صورتی که فوراً نمی‌توانید patch نصب کنید، SNMP  را غیرفعال یا حداقل دسترسی‌ها را سخت کنید، SNMPv3  را پیاده کنید و تشدید مانیتورینگ را انجام دهید.

 

کلمات کلیدی: |

مروری بر مطالب

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد