CVE-2025-20352: Vulnerabilidad Zero-Day Crítica en Cisco IOS y IOS XE Bajo Explotación Activa
Tras la divulgación este verano de dos vulnerabilidades críticas de RCE en Cisco ISE y SE-PIC, identificadas como CVE-2025-20281 y CVE-2025-20282, ha surgido una nueva falla de seguridad de Cisco en el panorama de amenazas cibernéticas. El proveedor ha publicado recientemente actualizaciones de seguridad para corregir una vulnerabilidad crítica de tipo zero-day en el software IOS e IOS XE, que está siendo activamente explotada en entornos reales y que podría permitir a atacantes remotos ejecutar código arbitrario o provocar ataques de Denegación de Servicio (DoS) en determinados escenarios.
La explotación de vulnerabilidades zero-day está en aumento, mientras que el tiempo para aplicar parches se reduce, lo que hace que las actualizaciones rápidas sean esenciales. El DBIR 2025 informa de un aumento del 34 % en las brechas de seguridad que comenzaron con atacantes aprovechando vulnerabilidades en comparación con el año anterior, lo que subraya la necesidad de defensas proactivas más sólidas para reducir el riesgo de explotación. El informe Mandiant M-Trends 2025 respalda firmemente esta tendencia, mostrando que por quinto año consecutivo los exploits siguen siendo el vector de ataque inicial más común, representando el 33 % de todas las brechas investigadas. Las vulnerabilidades zero-day han pasado de ser una herramienta de espionaje de nicho a convertirse en un método generalizado para comprometer redes corporativas.
Una nueva vulnerabilidad zero-day activamente explotada (CVE-2025-20352) en dispositivos Cisco IOS e IOS XE, que puede provocar ataques RCE y DoS, representa un riesgo grave para las organizaciones potencialmente afectadas. Regístrese en SOC Prime Platform para dotar a su equipo de experiencia en ciberseguridad de primer nivel y capacidades de IA para una protección empresarial avanzada. SOC Prime Platform ofrece un stack de detección curado para ayudar a las organizaciones a identificar a tiempo y prevenir de manera proactiva los intentos de explotación de vulnerabilidades. Haga clic en Explorar Detecciones para acceder a reglas Sigma dedicadas filtradas por la etiqueta personalizada “CVE”, que ayudan a su equipo de seguridad a minimizar riesgos de explotación antes de que sea demasiado tarde.
El contenido de detección mencionado anteriormente está alineado con MITRE ATT&CK® y enriquecido con inteligencia de amenazas impulsada por IA para ofrecer un contexto completo. Las reglas Sigma pueden convertirse automáticamente a múltiples formatos de SIEM, EDR y Data Lake, acelerando el flujo de trabajo de ingeniería de detección.
Además, aprovechando Uncoder AI, los ingenieros de seguridad pueden ejecutar múltiples tareas de ingeniería de detección de extremo a extremo, como convertir inteligencia de amenazas en bruto de reportes y feeds de CTI en consultas IOC optimizadas, visualizar Attack Flow, optimizar consultas con IA y traducir contenido de detección entre plataformas.
Análisis de CVE-2025-20352
El 24 de septiembre de 2025, Cisco publicó actualizaciones de seguridad para corregir una vulnerabilidad crítica zero-day en IOS e IOS XE que está siendo explotada activamente. La falla, identificada como CVE-2025-20352, con un puntaje CVSS de 7.7, se origina en un desbordamiento de búfer basado en pila en el subsistema SNMP, afectando a todos los dispositivos con SNMP habilitado, incluidos Meraki MS390 y Catalyst 9300 Series Switches con Meraki CS 17 o anterior. Cisco confirma que IOS XR y NX-OS no se ven afectados. Un atacante remoto autenticado puede explotar el problema enviando paquetes SNMP especialmente diseñados a través de IPv4 o IPv6. Cisco indica que la explotación requiere condiciones específicas: para ataques DoS se necesita una cadena de comunidad SNMPv2c (o anterior) de solo lectura o credenciales válidas de SNMPv3; para ataques que impliquen RCE, también se requieren credenciales administrativas en el dispositivo.
Cisco confirmó explotación activa tras el uso de credenciales locales de administrador robadas. La vulnerabilidad afecta a todas las versiones de SNMP, y los dispositivos que no hayan excluido los Object IDs afectados se consideran vulnerables.
Aunque no existen soluciones alternativas oficiales, las medidas de mitigación para CVE-2025-20352 incluyen restringir el acceso SNMP a usuarios de confianza y monitorizar con el comando show snmp host. Los administradores también pueden deshabilitar los Object IDs afectados, aunque esto podría afectar la gestión de dispositivos basada en SNMP. Cisco recomienda encarecidamente actualizar a IOS XE Release 17.15.4a o posterior para remediar completamente la vulnerabilidad y evitar exposición futura.
Dado que las vulnerabilidades críticas zero-day en software ampliamente utilizado siguen en aumento y son cada vez más explotadas, la respuesta rápida de los defensores es crucial. Confíe en la suite completa de productos de SOC Prime, respaldada por IA, automatización e inteligencia de amenazas en tiempo real, para adelantarse a las amenazas más críticas.
