Milyonlarca Cisco cihazı, ağ sistemlerinde uzaktan çökme veya kod çalıştırma yeteneği sunan, aktif olarak istismar edilen bir sıfır gün (0-day) güvenlik açığına karşı savunmasız durumda.
Şirket tarafından yapılan açıklamada, CVE-2025-20352 olarak takip edilen bu güvenlik açığının, şirketin birçok ağ cihazını destekleyen işletim sistemleri olan Cisco IOS ve Cisco IOS XE'nin tüm desteklenen sürümlerinde bulunduğu belirtildi. Açık, düşük yetkiye sahip kullanıcılar tarafından hizmet reddi (denial-of-service) saldırısı başlatmak için veya daha yüksek yetkiye sahip kullanıcılar tarafından sınırsız root ayrıcalıklarıyla kod çalıştırmak için istismar edilebilir. Güvenlik açığının şiddet derecesi, 10 üzerinden 7.7 olarak belirlendi.
SNMP İnternete Açık mı? İşte Cevabı
Şirketin Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), yerel yönetici kimlik bilgilerinin ele geçirilmesinin ardından bu güvenlik açığının sahada başarıyla istismar edildiği bilgisini edindiğini belirtti. Cisco, müşterilerin bu güvenlik açığını gidermek için güncellenmiş yazılım sürümlerine geçiş yapmalarını önemle tavsiye ediyor.
Güvenlik açığı, yönlendiriciler ve diğer cihazların bir ağdaki cihazlar hakkındaki bilgileri toplamak ve işlemek için kullandığı SNMP (basit ağ yönetimi protokolü) ile ilgilenen IOS bileşenindeki bir yığın taşması (stack overflow) hatasından kaynaklanıyor. Açık, özel olarak hazırlanmış SNMP paketleri gönderilerek istismar ediliyor.
Zararlı kod çalıştırmak için, uzaktaki saldırganın yönetilen cihazlara erişim için kullanılan, SNMP'ye özgü bir kimlik doğrulama biçimi olan salt okunur topluluk dizesine (read-only community string) sahip olması gerekiyor. Bu tür dizeler genellikle cihazlarla birlikte gelir ve bir yönetici tarafından değiştirilse bile kuruluş içinde yaygın olarak bilinir. Saldırganın ayrıca savunmasız sistemler üzerinde yetkilere ihtiyacı olacaktır. Bu koşullar altında saldırgan, root olarak çalışan uzaktan kod yürütme (RCE) yetenekleri elde edebilir.
Bağımsız bir araştırmacının belirttiğine göre, eğer root olarak RCE elde edilirse, bu yönetici ayrıcalıklarının ötesine geçmek anlamına gelir ve bu cihazlarda root erişimi elde edilmemesi gerekir.
Hizmet reddi saldırısı gerçekleştirmek için saldırganın tek ihtiyacı olan şey, salt okunur topluluk dizesi veya geçerli SNMPv3 kullanıcı kimlik bilgileri.
SNMP cihazlarının internet arayüzlerine açık hale getirilmesi önerilmez çünkü bu, ağları gereksiz yere bu tür risklere maruz bırakır. Yapılan bir araştırmaya göre, dünya genelinde 2 milyondan fazla cihaz bu şekilde yapılandırılmış durumda.
Bu istismara karşı en iyi koruma, Cisco tarafından yayınlanan güncellemeyi yüklemektir. Güncellemeyi hemen yapamayanlar için risk, yalnızca güvenilir kullanıcıların SNMP erişimine izin vererek ve terminal penceresindeki snmp komutu kullanılarak Cisco cihazlarının izlenmesiyle azaltılabilir. Bu güvenlik açığı için ek bir çözüm yolu bulunmamaktadır. Sahada istismar edildiğine dair ek ayrıntı da mevcut değil.
CVE-2025-20352, Cisco'nun Eylül ayı güncelleme sürümünde yamaladığı 14 güvenlik açığından biridir. Sekiz güvenlik açığının şiddet derecesi 6.7 ile 8.8 arasında değişmekteydi.
