CVE-2025-20352: Vulnerabilidade Zero-Day Crítica no Cisco IOS e IOS XE Sob Exploração Ativa
Após a divulgação, neste verão, de duas vulnerabilidades críticas de RCE no Cisco ISE e SE-PIC, rastreadas como CVE-2025-20281 e CVE-2025-20282, uma nova falha de segurança da Cisco surgiu no cenário de ameaças cibernéticas. O fornecedor recentemente lançou atualizações de segurança para corrigir uma vulnerabilidade crítica zero-day em softwares IOS e IOS XE, que está sendo explorada ativamente, podendo permitir que atacantes remotos executem código arbitrário ou causem ataques de negação de serviço (DoS) em determinados cenários.
A exploração de vulnerabilidades zero-day está aumentando, enquanto o tempo para aplicar correções diminui, tornando as atualizações rápidas essenciais. O DBIR 2025 relata um aumento de 34% nas violações iniciadas pela exploração de vulnerabilidades em comparação com o ano anterior, destacando a necessidade de defesas proativas mais fortes para reduzir riscos de exploração. O relatório M-Trends 2025 da Mandiant reforça essa tendência, mostrando que, pelo quinto ano consecutivo, explorações continuam sendo o principal vetor de ataque inicial, representando 33% de todas as violações investigadas. As vulnerabilidades zero-day deixaram de ser ferramentas de espionagem de nicho e se tornaram métodos amplamente utilizados para comprometer redes corporativas.
Uma nova vulnerabilidade zero-day (CVE-2025-20352) em dispositivos Cisco IOS e IOS XE, explorada ativamente e que pode causar ataques RCE e DoS, representa riscos significativos para organizações potencialmente afetadas. Cadastre-se na SOC Prime Platform para equipar sua equipe com expertise avançada em cibersegurança e IA para proteção empresarial. A SOC Prime Platform oferece uma pilha de detecção curada para ajudar organizações a identificar e prevenir, de forma proativa, tentativas de exploração de vulnerabilidades. Clique em Explorar Detecções para acessar regras Sigma dedicadas filtradas pela tag personalizada “CVE”, ajudando sua equipe de segurança a minimizar riscos antes que seja tarde demais.
O conteúdo de detecção mencionado acima está alinhado com MITRE ATT&CK® e enriquecido com inteligência de ameaças nativa em IA, oferecendo um contexto abrangente de ameaças cibernéticas. Regras Sigma podem ser convertidas automaticamente em diversos formatos de SIEM, EDR e Data Lake para acelerar o fluxo de trabalho de engenharia de detecção.
Além disso, utilizando Uncoder AI, engenheiros de segurança podem executar múltiplas tarefas de engenharia de detecção de ponta a ponta, como converter inteligência de ameaças bruta de relatórios e feeds CTI em consultas IOC otimizadas, visualização de fluxos de ataque (Attack Flow), otimização de consultas com suporte de IA e tradução de conteúdo de detecção entre plataformas.
Análise CVE-2025-20352
Em 24 de setembro de 2025, a Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade crítica zero-day em softwares IOS e IOS XE, explorada ativamente no ambiente real. A falha, rastreada como CVE-2025-20352, com CVSS 7.7, decorre de um estouro de buffer baseado em pilha no subsistema SNMP, afetando todos os dispositivos com SNMP habilitado, incluindo switches Meraki MS390 e Catalyst 9300 Series rodando Meraki CS 17 ou versões anteriores. O fornecedor informa que sistemas IOS XR e NX-OS não são impactados. Um atacante remoto autenticado pode explorar a vulnerabilidade enviando pacotes SNMP especialmente manipulados via IPv4 ou IPv6. A Cisco esclarece que certas condições devem ser atendidas: para ataques DoS, é necessária uma string de comunidade SNMPv2c (ou anterior) somente leitura ou credenciais SNMPv3 válidas; para ataques envolvendo RCE, são necessárias uma string de comunidade SNMPv1/v2c somente leitura ou credenciais SNMPv3 válidas, além de credenciais administrativas no dispositivo.
A Cisco confirmou exploração em ambiente real após uso de credenciais de administrador local roubadas. A vulnerabilidade afeta todas as versões do SNMP, e dispositivos que não tenham excluído os IDs de objeto afetados são considerados vulneráveis.
Embora atualmente não haja soluções alternativas, medidas potenciais de mitigação da CVE-2025-20352 incluem restringir o acesso SNMP a usuários confiáveis e monitorar via comando show snmp host. Administradores também podem desativar os IDs de objeto afetados, embora isso possa impactar o gerenciamento de dispositivos via SNMP. A Cisco recomenda fortemente a atualização para IOS XE Release 17.15.4a ou posterior para remediar completamente a falha e evitar exposição adicional.
À medida que vulnerabilidades críticas zero-day em softwares amplamente utilizados continuam a crescer e são exploradas em ambientes reais, a resposta rápida por parte dos defensores tornou-se absolutamente crucial. Conte com a suíte completa de produtos da SOC Prime, apoiada por IA, automação e inteligência de ameaças em tempo real, para se manter à frente das ameaças mais críticas.
