Source: https://thehackernews.com/2025/09/cisco-warns-of-actively-exploited-snmp.html
🛡 概要
Ciscoは、IOSソフトウェア及びIOS XEソフトウェアに存在する重大なセキュリティ脆弱性について警告を発表しました。この脆弱性は、リモートの攻撃者が特定の条件下で任意のコードを実行したり、サービス拒否(DoS)状態を引き起こす可能性があります。具体的には、CVE-2025-20352(CVSSスコア: 7.7)として知られるこの脆弱性は、既に実際に悪用されていることが確認されています。Ciscoによると、脆弱性はSNMP(Simple Network Management Protocol)サブシステムに起因するもので、スタックオーバーフローの脆弱性が発生しています。
🔍 技術詳細
CVE-2025-20352は、認証されたリモート攻撃者が、IPv4またはIPv6ネットワークを介して特別に作成されたSNMPパケットを影響を受けたデバイスに送信することで悪用される可能性があります。この場合、攻撃者が低い権限を持つ場合はDoSを引き起こし、高い権限を持つ場合はルートユーザーとして任意のコードを実行し、最終的に脆弱なシステムを制御することが可能です。この脆弱性が発生するためには、以下の条件が必要です。DoSを引き起こすには、攻撃者はSNMPv2cまたはそれ以前の読み取り専用コミュニティ文字列、または有効なSNMPv3ユーザー資格情報を持っている必要があります。ルートユーザーとしてコードを実行するには、SNMPv1またはv2cの読み取り専用コミュニティ文字列、または有効なSNMPv3ユーザー資格情報及び管理者または特権15資格情報が必要です。Ciscoは、Meraki MS390およびCisco Catalyst 9300シリーズスイッチが影響を受けると述べています。
⚠ 影響
この脆弱性は、すべてのSNMPバージョンに影響を及ぼすため、SNMPが有効になっているすべてのデバイスは、影響を受けるオブジェクトID(OID)を明示的に除外していない限り、脆弱であると考えられます。Ciscoは、CVE-2025-20352に対する回避策は存在しないと報告していますが、影響を受けるシステムに対して信頼できるユーザーのみがSNMPアクセスを持つようにすることが提案されています。さらに、管理者は「show snmp host」コマンドを実行してシステムを監視することが求められます。
🛠 対策
Ciscoは、影響を受けるデバイス上で特定のOIDを無効にすることを推奨しています。ただし、すべてのソフトウェアがこの対策に記載されたOIDをサポートしているわけではなく、特定のソフトウェアに対してOIDが無効な場合、そのソフトウェアはこの脆弱性の影響を受けません。OIDを除外することは、SNMPを介したデバイス管理に影響を与える可能性があります。管理者は、これらのOIDを除外することで、デバイスの発見やハードウェアインベントリに影響が出ることを考慮する必要があります。
