CVE-2025-20352: Kritische Zero-Day-Schwachstelle in Cisco IOS und IOS XE Wird Aktiv Ausgenutzt
Nach der Offenlegung von zwei kritischen RCE-Schwachstellen im Sommer in Cisco ISE und SE-PIC, die unter CVE-2025-20281 und CVE-2025-20282 geführt werden, ist eine neue Cisco-Sicherheitslücke in der Cyberbedrohungslandschaft aufgetaucht. Der Anbieter hat kürzlich Sicherheitsupdates veröffentlicht, um eine kritische Zero-Day-Schwachstelle in der IOS- und IOS XE-Software zu patchen, die aktiv in freier Wildbahn ausgenutzt wird und es Angreifern unter bestimmten Szenarien ermöglichen kann, beliebigen Code auszuführen oder Denial-of-Service-(DoS)-Angriffe durchzuführen.
Die Ausnutzung von Zero-Day-Schwachstellen nimmt zu, während der Zeitrahmen für deren Behebung schrumpft. Daher sind zeitnahe Updates unerlässlich. Der 2025 DBIR berichtet von einem Anstieg der Sicherheitsverletzungen um 34 %, die damit begannen, dass Angreifer Schwachstellen aktiv ausnutzten, im Vergleich zum Vorjahr, was die Notwendigkeit proaktiver Verteidigungsmaßnahmen zur Risikominimierung unterstreicht. Der Mandiant M-Trends 2025 Bericht bestätigt diesen Trend: Zum fünften Jahr in Folge bleiben Exploits der häufigste initiale Angriffsvektor und machen 33 % aller untersuchten Sicherheitsverletzungen aus. Zero-Day-Schwachstellen haben sich von einem Nischen-Spionagewerkzeug zu einer gängigen Methode entwickelt, um Unternehmensnetzwerke zu kompromittieren.
Eine neue aktiv ausgenutzte Zero-Day-Schwachstelle (CVE-2025-20352) in Cisco IOS- und IOS XE-Geräten, die RCE- und DoS-Angriffe auslösen kann, stellt erhebliche Risiken für potenziell betroffene Organisationen dar. Registrieren Sie sich für die SOC Prime Plattform, um Ihr Team mit erstklassiger Cybersecurity-Expertise und KI-gestütztem Schutz für unternehmensbereite Sicherheitslösungen auszustatten. Die SOC Prime Plattform bietet einen kuratierten Detection-Stack, um Organisationen zu unterstützen, Schwachstellen rechtzeitig zu erkennen und Exploit-Versuche proaktiv zu verhindern. Klicken Sie auf Erkennungen Erkunden, um dedizierte Sigma-Regeln zu erreichen, die nach dem benutzerdefinierten „CVE“-Tag gefiltert sind und Ihrem Sicherheitsteam helfen, die Risiken der CVE-Ausnutzung zu minimieren, bevor es zu spät ist.
Der oben erwähnte Detection-Content für die Erkennung von Exploits ist an MITRE ATT&CK® ausgerichtet und mit KI-native Threat Intelligence angereichert, um einen umfassenden Kontext zu Cyberbedrohungen zu liefern. Sigma-Regeln können automatisiert in diverse SIEM-, EDR- und Data-Lake-Formate konvertiert werden, um den Detection-Engineering-Workflow zu beschleunigen.
Darüber hinaus können Sicherheitsexperten mithilfe von Uncoder AI mehrere Detection-Engineering-Aufgaben End-to-End durchführen, wie z. B. die Umwandlung von Roh-Threat-Intel aus Berichten und CTI-Feeds in performance-optimierte IOC-Abfragen, Attack-Flow-Visualisierung, KI-gestützte Abfrageoptimierung und plattformübergreifende Übersetzung von Detection-Content.
CVE-2025-20352 Analyse
Am 24. September 2025 hat Cisco Sicherheitsupdates veröffentlicht, um eine kritische Zero-Day-Schwachstelle in IOS- und IOS XE-Software zu beheben, die aktiv in der Wildnis ausgenutzt wird. Die Schwachstelle, die unter CVE-2025-20352 geführt wird, hat einen CVSS-Wert von 7,7 und entsteht durch einen stack-basierten Buffer Overflow im SNMP-Subsystem. Betroffen sind alle Geräte mit aktiviertem SNMP, einschließlich Meraki MS390 und Catalyst 9300 Series Switches mit Meraki CS 17 oder älter. IOS XR- und NX-OS-Systeme sind laut Hersteller nicht betroffen. Ein authentifizierter Remote-Angreifer kann die Schwachstelle ausnutzen, indem er manipulierte SNMP-Pakete über IPv4 oder IPv6 sendet. Cisco gibt an, dass bestimmte Bedingungen erfüllt sein müssen, um die Ausnutzung zu ermöglichen. Für einen DoS-Angriff benötigt der Angreifer einen SNMPv2c- (oder älteren) Read-Only Community-String oder gültige SNMPv3-Anmeldeinformationen, während für RCE-Angriffe ein SNMPv1/v2c Read-Only Community-String oder gültige SNMPv3-Anmeldeinformationen sowie administrative Rechte auf dem Gerät erforderlich sind.
Cisco bestätigte die Ausnutzung in der Wildnis nach Verwendung gestohlener lokaler Administratoranmeldeinformationen. Die Schwachstelle betrifft alle SNMP-Versionen, und Geräte, die die betroffenen Objekt-IDs nicht ausgeschlossen haben, gelten als verwundbar.
Obwohl derzeit keine Workarounds verfügbar sind, können potenzielle CVE-2025-20352 Abhilfemaßnahmen das Einschränken des SNMP-Zugriffs auf vertrauenswürdige Benutzer und die Überwachung über den Befehl show snmp host umfassen. Administratoren können außerdem betroffene Objekt-IDs deaktivieren, was jedoch die SNMP-basierte Geräteverwaltung beeinträchtigen kann. Cisco empfiehlt dringend, auf IOS XE Release 17.15.4a oder höher zu aktualisieren, um das Problem vollständig zu beheben und weitere Risiken zu vermeiden.
Da kritische Zero-Day-Schwachstellen in weit verbreiteter Software weiter zunehmen und verstärkt in der Wildnis ausgenutzt werden, ist eine schnelle Reaktion der Verteidiger absolut entscheidend. Verlassen Sie sich auf das vollständige Produktportfolio von SOC Prime, unterstützt durch KI, Automatisierung und Echtzeit-Threat-Intelligence, um den aktuellsten Bedrohungen stets einen Schritt voraus zu sein.
