30 000 уязвимых роутеров в Рунете. Как хакеры могут удалённо запустить команды и почему все ещё включён старый SNMP

cisco snmp CyberOK уязвимость безопасность
30 000 уязвимых роутеров в Рунете. Как хакеры могут удалённо запустить команды и почему все ещё включён старый SNMP
cisco snmp CyberOK уязвимость безопасность

CyberOK опубликовала скрипт для проверки устройств на CVE-2025-20352.

image

Специалисты CyberOK зафиксировали в рунете более 30 000 устройств с включённым SNMP v1/v2c. Из них около 1 700 выглядят потенциально уязвимыми к CVE-2025-20352. Наличие исправления зависит от версии и платформы IOS/IOS XE, проверка выполняется через Cisco Software Checker.

CVE-2025-20352 представляет собой переполнение стека в подсистеме SNMP Cisco IOS/IOS XE. Для эксплуатации необходимы валидные SNMP-учётные данные. Пользователь с низкими правами может вызвать отказ в обслуживании, а при повышенных полномочиях на IOS XE возможен удалённый запуск команд через специально сформированные SNMP-пакеты. Уязвимость уже используется злоумышленниками.

По данным CyberOK, многие устройства в рунете всё ещё отвечают по SNMP v1/v2c и/или используют стандартные сообщества public/private. Это повышает вероятность эксплуатации. Характерные признаки в логах и метриках: всплески SNMP auth failure и noSuchName, аномально частые запросы, падение sysUpTime, повторные перезагрузки и записи в crashinfo, а также нетипичные источники трафика UDP/161.

Рекомендации включают ограничение доступа к SNMP с помощью ACL/CoPP только для менеджмент-хостов, отключение SNMP v1/v2c и переход на SNMPv3 (authPriv), смену стандартных сообществ при сохранении v1/v2c, обновление IOS/IOS XE до исправленных билдов и мониторинг показателей sysDescr/sysUpTime и активности по UDP/161. Для экспресс-проверки CyberOK опубликовала скрипт на GitHub.

Ранее Cisco выпустила обновления безопасности, устраняющие CVE-2025-20352. В компании отметили, что успешные атаки были зафиксированы после компрометации учётных данных администратора. Обходных решений нет, поэтому рекомендуется срочно переходить на исправленные версии. Временной мерой может быть ограничение SNMP-доступа только для доверенных пользователей.

В том же пакете обновлений Cisco устранила ещё 13 уязвимостей. Среди них две с опубликованными PoC: CVE-2025-20240 — XSS в IOS XE, позволяющая похищать cookie-файлы без аутентификации, и CVE-2025-20149, при которой локальный пользователь может принудительно перезагрузить устройство.

Напоминанием о серьёзности проблемы стало майское обновление, когда Cisco закрыла критическую уязвимость в контроллерах беспроводных сетей IOS XE. Тогда злоумышленники могли без авторизации захватывать управление через жёстко прописанный JWT. Новый инцидент с CVE-2025-20352 подтверждает, что эксплуатация уязвимостей в базовых сервисах Cisco активно используется в атаках.