ГлавнаяБаза уязвимостей БДУ → BDU:2025-12385
9критическая

BDU:2025-12385

Уязвимость подсистемы реализации протокола SNMP операционных систем Cisco IOS и Cisco IOS XE, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-09-29
Описание

Уязвимость подсистемы реализации протокола SNMP операционных систем Cisco IOS и Cisco IOS XE связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с привилегиями root и вызвать отказ в обслуживании путем отправки специально сформированного SNMP-пакета

Затрагиваемое ПО и версии
Cisco IOS (15.2(4)E)Cisco IOS (15.6(1)T0a)Cisco IOS (15.5(3)M)Cisco IOS (15.0(2)SG5)Cisco IOS (15.1(2)SG3)Cisco IOS XE (3.14.0s)Cisco IOS XE (3.14.1s)Cisco IOS XE (3.14.2s)Cisco IOS XE (3.14.3s)Cisco IOS XE (3.14.4s)Cisco IOS XE (3.15.0s)Cisco IOS XE (3.15.1s)Cisco IOS XE (3.15.2s)Cisco IOS XE (3.15.3s)Cisco IOS XE (3.16.0s)Cisco IOS XE (3.16.1as)Cisco IOS XE (3.16.2as)Cisco IOS XE (3.16.2s)Cisco IOS XE (3.17.0s)Cisco IOS XE (3.17.1s)Cisco IOS XE (3.18.0s)Cisco IOS XE (3.7.0e)Cisco IOS XE (3.7.1e)Cisco IOS XE (3.7.2e)Cisco IOS XE (3.7.4e)Cisco IOS XE (3.7.5e)Cisco IOS XE (3.7.3e)Cisco IOS (15.2(2)E5b)Cisco IOS (15.2(5a)E1)Cisco IOS (15.5(1)S)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- настройка SNMP путем использования следующих команд:
!Standard VIEW and Security Exclusions
snmp-server view NO_BAD_SNMP iso included
snmp-server view NO_BAD_SNMP snmpUsmMIB excluded
snmp-server view NO_BAD_SNMP snmpVacmMIB excluded
snmp-server view NO_BAD_SNMP snmpCommunityMIB excluded
!End Standard View

!Advisory Specific Mappings
!CISCO-AUTH-FRAMEWORK-MIB
snmp-server view NO_BAD_SNMP cafSessionMethodsInfoEntry.2.1.111 excluded

Для применения конфигурации необходимо использовать команду:
snmp-server community mycomm view NO_BAD_SNMP RO

В случае использования реализации протокола SNMPv3 необходимо использовать команду:
snmp-server group v3group auth read NO_BAD_SNMP write NO_BAD_SNMP

- использование SIEM-систем для отслеживания событий, связанных с обработкой SNMP-пакетов;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа к уязвимому устройству из внешних сетей (Интернет);
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte
Проверьте безопасность своего сайта и почты → Полная проверка домена