Cisco IOS 0-Day RCE Vulnerability Actively Exploited in the Wild
2025/09/24 CyberSecurityNews — Cisco が公表したのは、広く使用されている IOS/IOS XE ソフトウェアに存在するゼロデイ脆弱性 CVE-2025-20352 の情報であり、実環境で悪用されていることを確認しているという。この脆弱性は SNMP (Simple Network Management Protocol) サブシステムに存在し、リモート・コード実行 (RCE)/サービス拒否 (DoS) を引き起こす可能性がある。
この問題は、Cisco TAG (Technical Assistance Center) によるサポート・ケース調査中に確認されたものであり、SNMP サブシステムにおけるスタック・オーバーフロー (CWE-121) が原因となるものだ。この脆弱性を悪用する脅威アクターは、細工した SNMP パケットを IPv4/IPv6 経由で送信することで攻撃を開始できる。SNMP v1/v2c/v3 のすべてが影響を受けると、2025年9月24日に公開されたアドバイザリには示されている。
悪用の深刻度は攻撃者の権限レベルに依存する:
- 認証済みの低権限のリモート攻撃者:SNMP v2c の読み取り専用コミュニティ文字列または、有効な SNMP v3 ユーザー認証情報へのアクセスを用いて、影響を受けるデバイスを再起動させることで DoS を発生させる可能性がある。
- 管理者権限または特権レベル 15 の認証情報を保有する高権限攻撃者:IOS XE を実行するデバイス上で、root ユーザーとして任意のコードを実行し、事実上システムを完全に制御できる。
実環境での悪用と影響を受けるデバイス
Cisco PSIRT は、この脆弱性が実環境で悪用された事例を確認している。そのアドバイザリによると、最初にローカル管理者の認証情報を侵害した攻撃者は、その後に、この脆弱性を利用することで連鎖的な攻撃が可能なことを実証している。この事実は、パッチ適用と並行して、強固な認証情報の管理が不可欠であることを示している。
この脆弱性が影響を及ぼす範囲は、SNMP が有効化された脆弱なリリースの IOS/IOS XE を実行する、広範な Cisco デバイスとなる。具体的な例として、Meraki MS390/Cisco Catalyst 9300 シリーズ・スイッチが挙げられる。
| Product | Affected Versions | Fixed Release |
|---|---|---|
| Cisco IOS & IOS XE Software | All releases with SNMP enabled prior to the first fixed software release are considered vulnerable. | Customers should use the Cisco Software Checker to determine the appropriate patched release for their specific software train. |
| Meraki MS390 Switches | Meraki CS 17 and earlier. | The vulnerability is addressed in Cisco IOS XE Software Release 17.15.4a. |
| Cisco Catalyst 9300 Series Switches | Meraki CS 17 and earlier. | The vulnerability is addressed in Cisco IOS XE Software Release 17.15.4a. |
悪意のトラフィックを遮断する特別な設定がない限り、SNMP が有効化されたデバイスは脆弱と見なされる。管理者は、show running-config コマンドにより、SNMP の有効/無効の状態を確認できる。
緩和策
すでに Cisco は、ソフトウェア・アップデートを公開し、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、パッチ適用済みリリースへ向けて速やかにアップグレードし、この問題を完全に解決することだ。なお、アドバイザリ (cisco-sa-snmp-x4LPhte) によると、回避策は存在しないとのことだ。迅速なアップデートが不可能な組織向けには、影響を受けるオブジェクト ID (OID) を除外する、SNMP ビュー設定が緩和策として提示されている。
ただし、この緩和策はデバイス検出/ハードウェアインベントリ監視などのネットワーク管理機能に影響を及ぼす可能性がある。Cisco が推奨する一般的なセキュリティ対策は、信頼できるユーザーだけに、SNMP アクセスを制限することである。
Cisco IOS/IOS XE ソフトウェアに、ゼロデイ脆弱性が発見されました。原因は SNMP サブシステムにおけるスタック・オーバーフローにあり、細工された SNMP パケットを処理する際の不十分な入力検証に起因するものです。その結果として、低権限の攻撃者であっても、サービス拒否を引き起こせるとされます。その一方で、高い権限を持つ攻撃者であれば、root 権限で任意のコード実行を引き起こせるようです。SNMP v1~v3 が影響を受けるため、広範な Cisco デバイスが対象となり、認証情報の管理と早期の修正の適用が重要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Cisco SNMP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.