Cisco confirma exploração ativa de zero-day

A Cisco confirmou a exploração ativa da vulnerabilidade zero-day CVE-2025-20352 em seus sistemas IOS e IOS XE. A falha crítica está no subsistema do Simple Network Management Protocol (SNMP) e pode permitir a execução remota de código (RCE) ou causar negação de serviço (DoS) em dispositivos vulneráveis.

Leia também
Parceria com a Think eleva maturidade de SI na Sertrading
Exploração ativa de zero-day no Chrome

Segundo o alerta publicado em 24 de setembro de 2025, a vulnerabilidade decorre de um stack overflow (CWE-121) explorável por meio de pacotes SNMP especialmente criados em redes IPv4 ou IPv6. Todas as versões do SNMP (v1, v2c e v3) são afetadas.

O nível de impacto depende dos privilégios do atacante. Usuários remotos autenticados com acesso de leitura no SNMPv2c ou credenciais SNMPv3 podem forçar o reinício do equipamento, gerando DoS. Já invasores com credenciais administrativas podem obter execução de código como root em dispositivos IOS XE, assumindo controle total do sistema.

O Product Security Incident Response Team (PSIRT) da Cisco confirmou a exploração em cadeia, após invasores obterem credenciais administrativas locais. Entre os produtos impactados estão os switches Meraki MS390 e Cisco Catalyst 9300. A correção já está disponível no Cisco IOS XE Release 17.15.4a, e clientes devem verificar as versões aplicáveis por meio do Software Checker.

Não existem workarounds permanentes. Como mitigação temporária, a Cisco recomenda configurar uma SNMP view para bloquear OIDs vulneráveis, embora isso possa prejudicar funções de monitoramento de rede. Também orienta restringir o acesso SNMP apenas a usuários confiáveis.