أصدرت شركة سيسكو تحذيراً بشأن ثغرة أمنية خطيرة في أنظمة IOS وIOS XE، يمكن أن تسمح للمهاجمين عن بُعد بتنفيذ تعليمات برمجية عشوائية أو التسبب في هجوم حرمان من الخدمة (DoS) في ظروف محددة.
الثغرة التي تحمل الرمز CVE-2025-20352 وبدرجة خطورة 7.7 على مقياس CVSS، تم رصد استغلالها فعلياً بعد اختراق بيانات اعتماد حسابات إدارية محلية. وأوضحت سيسكو أن سبب الخلل يعود إلى تجاوز في الذاكرة (Stack Overflow) داخل مكون SNMP.
آلية الاستغلال
يمكن لمهاجم عن بُعد يمتلك بيانات اعتماد صحيحة أن يستغل الثغرة عبر إرسال حزم SNMP مُعدّة خصيصاً إلى الأجهزة المتأثرة عبر بروتوكولي IPv4 أو IPv6. فإذا كانت صلاحياته منخفضة يمكنه التسبب في انقطاع الخدمة، أما إذا كانت عالية (بما في ذلك امتيازات الجذر)، فيمكنه تنفيذ أوامر عشوائية والتحكم الكامل بالنظام المستهدف.
وحددت سيسكو شروط الاستغلال كالآتي:
-
لإحداث DoS: يلزم امتلاك سلسلة مجتمع SNMPv2c أو أقدم للقراءة فقط، أو بيانات اعتماد مستخدم SNMPv3.
-
لتنفيذ أوامر كجذر: يلزم امتلاك بيانات اعتماد مستخدم SNMPv3 بامتيازات إدارية، أو سلسلة مجتمع SNMPv1 أو v2c للقراءة فقط مع صلاحيات من المستوى 15.
المنتجات المتأثرة والإصلاحات
تشمل الأجهزة المتأثرة جميع إصدارات SNMP، بالإضافة إلى Meraki MS390 وCisco Catalyst 9300 التي تعمل بإصدارات Meraki CS 17 وما قبلها. وأكدت الشركة أن الثغرة تم إصلاحها في إصدار Cisco IOS XE 17.15.4a.
أما أنظمة IOS XR وNX-OS فهي غير متأثرة بالثغرة. وشددت سيسكو على أن جميع الأجهزة التي تُشغّل SNMP ولم تستثنِ معرف الكائن (OID) المتأثر تعتبر عرضة للاستغلال.
التدابير المقترحة
لم تُعلن سيسكو عن حلول بديلة مباشرة لمعالجة الثغرة، لكنها أوصت بتقييد وصول SNMP على الأجهزة ليقتصر على المستخدمين الموثوقين، إلى جانب مراقبة الأنظمة عبر الأمر show snmp host. كما أشارت إلى إمكانية تعطيل معرفات OID المتأثرة، مع التحذير من أن ذلك قد يؤثر على إدارة الجهاز عبر SNMP مثل الاكتشاف أو جرد الأجهزة.
