CVE-2025-20352 : Vulnérabilité Zero-Day Critique dans Cisco IOS et IOS XE Activement Exploitée
Suite à la divulgation cet été de deux vulnérabilités RCE critiques dans Cisco ISE et SE-PIC, référencées CVE-2025-20281 et CVE-2025-20282, une nouvelle faille de sécurité Cisco a émergé dans le paysage des menaces cyber. Le fournisseur a récemment publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day critique dans les logiciels IOS et IOS XE, actuellement exploitée dans la nature et pouvant permettre à des attaquants distants d’exécuter du code arbitraire ou de provoquer des attaques par déni de service (DoS) dans certains scénarios.
L’exploitation des vulnérabilités zero-day est en hausse, tandis que le délai pour les corriger se réduit, rendant les mises à jour rapides essentielles. Le rapport 2025 DBIR indique une augmentation de 34 % des violations débutant par l’exploitation de vulnérabilités par rapport à l’année précédente, soulignant la nécessité de défenses proactives renforcées pour réduire les risques d’exploitation. Le rapport M-Trends 2025 de Mandiant corrobore fortement cette tendance, montrant que pour la cinquième année consécutive, les exploits restent le principal vecteur d’attaque initial, représentant 33 % de toutes les violations étudiées. Les vulnérabilités zero-day sont passées d’un outil d’espionnage de niche à une méthode courante pour compromettre les réseaux d’entreprise.
Une nouvelle vulnérabilité zero-day activement exploitée (CVE-2025-20352) dans les équipements Cisco IOS et IOS XE, pouvant déclencher des attaques RCE et DoS, représente un risque sérieux pour les organisations potentiellement affectées. Inscrivez-vous à la SOC Prime Platform pour équiper votre équipe d’une expertise cybersécurité de pointe et de l’IA pour une protection sécurisée prête pour l’entreprise. La SOC Prime Platform propose une stack de détection sélectionnée pour aider les organisations à détecter rapidement et à contrer proactivement les tentatives d’exploitation de vulnérabilités. Cliquez sur Explorer les détections pour accéder aux règles Sigma dédiées filtrées par le tag personnalisé “CVE” afin d’aider votre équipe de sécurité à minimiser les risques d’exploitation des CVE avant qu’il ne soit trop tard.
Le contenu de détection mentionné ci-dessus pour la détection d’exploitation de vulnérabilités est aligné avec MITRE ATT&CK® et enrichi avec des renseignements sur les menaces natifs de l’IA afin de fournir un contexte complet sur les cybermenaces. Les règles Sigma peuvent être converties automatiquement dans divers formats SIEM, EDR et Data Lake pour accélérer votre workflow de détection.
De plus, en exploitant Uncoder AI, les ingénieurs en sécurité peuvent effectuer plusieurs tâches de détection de bout en bout, telles que convertir les renseignements bruts issus de rapports et flux CTI en requêtes IOC optimisées, visualiser l’Attack Flow, optimiser les requêtes avec l’IA et traduire le contenu de détection sur différentes plateformes.
Analyse de CVE-2025-20352
Le 24 septembre 2025, Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day critique dans les logiciels IOS et IOS XE, actuellement exploitée dans la nature. La faille, référencée CVE-2025-20352, avec un score CVSS de 7,7, résulte d’un dépassement de tampon basé sur la pile dans le sous-système SNMP, affectant tous les appareils avec SNMP activé, y compris les switches Meraki MS390 et Catalyst 9300 Series exécutant Meraki CS 17 ou une version antérieure. Le fournisseur précise que les systèmes IOS XR et NX-OS ne sont pas impactés. Un attaquant distant authentifié peut exploiter la faille en envoyant des paquets SNMP spécialement conçus via IPv4 ou IPv6. Cisco indique que certaines conditions doivent être remplies pour l’exploitation : pour une attaque DoS, l’adversaire doit disposer d’une chaîne de communauté en lecture seule SNMPv2c (ou antérieure) ou de credentials SNMPv3 valides ; pour une attaque RCE, il faut une chaîne de communauté en lecture seule SNMPv1/v2c ou des credentials SNMPv3 valides, ainsi que des credentials administratifs sur l’appareil.
Cisco a confirmé l’exploitation dans la nature après l’utilisation de credentials locaux d’administrateur volés. La vulnérabilité affecte toutes les versions de SNMP, et les appareils n’ayant pas exclu les ID d’objet affectés sont considérés comme vulnérables.
Bien qu’aucune solution de contournement ne soit actuellement disponible, les mesures potentielles de mitigation CVE-2025-20352 incluent la restriction de l’accès SNMP aux utilisateurs de confiance et la surveillance via la commande show snmp host. Les administrateurs peuvent également désactiver les ID d’objet affectés, bien que cela puisse impacter la gestion des appareils via SNMP. Cisco recommande vivement de passer à IOS XE Release 17.15.4a ou une version ultérieure pour remédier complètement à la vulnérabilité et éviter toute exposition supplémentaire.
Alors que les failles zero-day critiques dans des logiciels largement utilisés continuent d’augmenter et d’être exploitées dans la nature, une réaction rapide des défenseurs est devenue absolument cruciale. Faites confiance à l’ensemble des produits SOC Prime, soutenu par l’IA, l’automatisation et les renseignements sur les menaces en temps réel, pour rester en avance sur les menaces les plus critiques.
