CISA Warns of Cisco IOS and IOS XE SNMP Vulnerabilities Exploited in Attacks
2025/10/01 CyberSecurityNews — Cisco IOS/IOS XE の SNMP (Simple Network Management Protocol) 実装が、実際の攻撃で悪用されているとの報告を受け、CISA が警告を発している。2025年8月に公開された脆弱性 CVE-2025-20352 は、SNMP エンジンにおける深刻なバッファ・オーバーフローに起因し、未認証のリモート攻撃者に対して任意のコード実行を許す可能性がある。
この脆弱性が発生するのは、GetBulk リクエストにより過大なペイロードが送信されるときであり、内部バッファがオーバーランし、攻撃者が提供したシェルコードへと制御フローがリダイレクトされてしまう。
原因不明のデバイスの再起動と異常な SNMP トラフィック・パターンに、ネットワーク・オペレータが気づき始めたときに、侵害の兆候が現れた。その後のフォレンジック分析により、侵害されたルータが不正な SNMP リクエストを処理した直後に、外部の C2 (Command and Control) サーバに ping を送信していることが明らかになった。
CISA のアナリストたちは、脆弱性が公開されてから数週間以内に侵害を特定し、CVE-2025-20352 を悪用する攻撃者が、企業ネットワーク内に永続的な足掛かりを築いていると警告した。
その影響が及ぶ範囲は、ISR 4000 Series から、IOS XEバージョン 17.10 以下を実行する Catalyst スイッチに至るまでの、広範な Cisco プラットフォームとなる。
この悪用の前提として必要になるのは、SNMP サービスへのネットワーク到達性のみであり、有効な認証情報は不要なため、公開された管理インターフェイスは特に危険である。
報告されたインシデントの中には、攻撃者が制御するホストへのリバースシェルを確立するカスタム・ペイロードが展開され、標的デバイスに対する完全なリモート制御が可能になっていたという。
感染メカニズム
この攻撃は不正な PDU を利用して、SNMP エンジンのスタックで境界外書き込みをトリガーする。長さフィールドが最大バッファサイズを超える GetBulk リクエストを受信する SNMP ハンドラは、メッセージ・サイズの検証に失敗する。
それにより生じるオーバーフローは、スタック上に保存されたリターン・アドレスを上書きし、パケットに埋め込まれたシェルコードの実行を誘導する。このシェルコード実行により、攻撃者の IP アドレスへのソケット接続が初期化される。
from pysnmp.hlapi import *
payload = b"\x90" * 100 + reverse_shell_shellcode
sendNotification(
SnmpEngine(),
CommunityData('public'),
UdpTransportTarget(('192.0.2.123', 161)),
ContextData(),
NotificationType(
ObjectIdentity('1.3.6.1.4.1.9.9.96'),
('1.3.6.1.4.1.9.9.96.1.1', OctetString(payload))
)
)
このパケット構造が示すのは、長すぎる長さフィールドと埋め込まれたシェルコードの組み合わせによるハイジャックの様子である。
ネットワーク防御者に対して強く推奨されるのは、最新の Cisco パッチを直ちに適用し、SNMP アクセスを信頼できるホストのみに制限することだ。
入力検証不足によるバッファ・オーバーフローに起因する、SNMP の脆弱性が問題視されています。具体的には、GetBulk リクエストの長さフィールドが検査されず、内部バッファを上書きして制御流れが攻撃者のシェルコードへ逸らされるという問題が生じているようです。認証が不要なため、公開インターフェイスへの到達による悪用が生じやすく、影響範囲が広い点とされます。なお、ここで紹介した記事には、CISA からの一次情報があるはずなのですが、それが見つかりませんでした。よろしければ、2025/09/24 の「Cisco IOS/IOS XE の SNMP ゼロデイ脆弱性 CVE-2025-20352:RCE/DoS と実環境での悪用」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.