Специалисты CyberOK зафиксировали в российском сегменте интернета более 30 000 устройств с активным протоколом SNMP v1/v2c. Из этого числа около 1 700 систем выглядят потенциально уязвимыми к критической ошибке CVE-2025-20352 — переполнению стека в подсистеме SNMP Cisco IOS/IOS XE. Злоумышленники уже активно эксплуатируют эту уязвимость, используя скомпрометированные SNMP-учетные данные для удаленного выполнения команд на устройствах с повышенными правами или вызова отказа в обслуживании.
Основная проблема в том, что многие устройства до сих пор отвечают по SNMP v1/v2c и используют стандартные и общеизвестные сообщества вроде public/private. Такая конфигурация значительно упрощает атаку, повышая вероятность успешной эксплуатации. CyberOK указывает на характерные признаки компрометации, которые следует искать в логах: всплески ошибок аутентификации SNMP, аномально частые запросы к порту UDP/161, а также внезапные падения sysUpTime и перезагрузки.
Для срочного снижения рисков требуется немедленное действие. Рекомендуется отключить SNMP v1/v2c, перейти на безопасный SNMPv3 (authPriv) и, что самое важное, обновить Cisco IOS/IOS XE до версий с исправлением, выпущенным Cisco. В качестве временной меры можно ограничить доступ к SNMP только для доверенных менеджмент-хостов с помощью ACL. Экспресс-проверка наличия уязвимости доступна с помощью скрипта, опубликованного CyberOK на GitHub.
#кибербезопасность #Cisco #SNMP
@SecLabnews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
30 000 уязвимых роутеров в Рунете. Как хакеры могут удалённо запустить команды и почему все ещё включён старый SNMP
CyberOK опубликовала скрипт для проверки устройств на CVE-2025-20352.
15🔥75💯55👀14⚡2😱2🤡2👏1