CVE-2025-20352: Vulnerabilità Zero-Day Critica in Cisco IOS e IOS XE Sfruttata Attivamente
A seguito della divulgazione estiva di due vulnerabilità critiche RCE in Cisco ISE e SE-PIC, identificate come CVE-2025-20281 e CVE-2025-20282, è emersa una nuova falla di sicurezza Cisco nel panorama delle minacce informatiche. Il vendor ha recentemente rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità zero-day critica in IOS e IOS XE, attivamente sfruttata in natura, che potrebbe consentire a un attaccante remoto di eseguire codice arbitrario o provocare attacchi di denial-of-service (DoS) in determinati scenari.
Lo sfruttamento delle vulnerabilità zero-day è in aumento, mentre i tempi per applicare le patch si riducono, rendendo gli aggiornamenti tempestivi essenziali. Il DBIR 2025 riporta un incremento del 34% delle violazioni iniziate con attacchi basati su vulnerabilità rispetto all’anno precedente, sottolineando la necessità di difese proattive più solide per ridurre i rischi di sfruttamento. Il report M-Trends 2025 di Mandiant conferma questa tendenza, mostrando che per il quinto anno consecutivo, gli exploit rimangono il principale vettore di attacco iniziale, rappresentando il 33% di tutte le violazioni investigate. Le vulnerabilità zero-day sono passate dall’essere strumenti di spionaggio di nicchia a metodi mainstream per compromettere le reti aziendali.
Una nuova vulnerabilità zero-day attivamente sfruttata (CVE-2025-20352) nei dispositivi Cisco IOS e IOS XE, che può innescare attacchi RCE e DoS, rappresenta rischi gravi per le organizzazioni potenzialmente interessate. Registrati su SOC Prime Platform per dotare il tuo team di competenze avanzate in cybersecurity e AI per una protezione aziendale completa. SOC Prime Platform offre uno stack di rilevamento curato per aiutare le organizzazioni a individuare tempestivamente e prevenire proattivamente tentativi di sfruttamento delle vulnerabilità. Clicca su Esplora i Rilevamenti per accedere a regole Sigma dedicate filtrate tramite il tag “CVE”, aiutando il tuo team a minimizzare i rischi di sfruttamento delle CVE prima che sia troppo tardi.
Il contenuto di rilevamento sopra menzionato per l’identificazione dello sfruttamento delle vulnerabilità è allineato con MITRE ATT&CK® ed arricchito con threat intelligence nativa AI per fornire un contesto completo sulle minacce informatiche. Le regole Sigma possono essere convertite automaticamente in diversi formati SIEM, EDR e Data Lake per accelerare il workflow di detection engineering.
Inoltre, sfruttando Uncoder AI, gli ingegneri della sicurezza possono svolgere molteplici attività di detection engineering end-to-end, come convertire informazioni sulle minacce da report e feed CTI in query IOC ottimizzate, visualizzare Attack Flow, ottimizzare query con AI e tradurre contenuti di rilevamento cross-platform.
Analisi CVE-2025-20352
Il 24 settembre 2025, Cisco ha rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità zero-day critica in IOS e IOS XE, attivamente sfruttata in natura. La falla, tracciata come CVE-2025-20352, con un punteggio CVSS di 7.7, deriva da un overflow del buffer basato sullo stack nel sottosistema SNMP, interessando tutti i dispositivi con SNMP abilitato, inclusi Meraki MS390 e Catalyst 9300 Series Switches con Meraki CS 17 o versioni precedenti. Cisco conferma che i sistemi IOS XR e NX-OS non sono impattati. Un attaccante remoto autenticato può sfruttare la falla inviando pacchetti SNMP appositamente creati su IPv4 o IPv6. Cisco specifica che l’exploit richiede determinate condizioni: per un attacco DoS, è necessaria una community string SNMPv2c (o più vecchia) in sola lettura o credenziali SNMPv3 valide; per attacchi RCE, occorrono una community string SNMPv1/v2c in sola lettura o credenziali SNMPv3 valide più credenziali amministrative sul dispositivo.
Cisco ha confermato l’exploit in natura dopo l’uso di credenziali locali di amministratore rubate. La vulnerabilità interessa tutte le versioni SNMP e i dispositivi che non hanno escluso gli object ID vulnerabili sono considerati a rischio.
Sebbene non siano attualmente disponibili soluzioni alternative, le possibili misure di mitigazione per CVE-2025-20352 includono la restrizione dell’accesso SNMP a utenti fidati e il monitoraggio tramite il comando show snmp host. Gli amministratori possono anche disabilitare gli object ID interessati, sebbene ciò possa influire sulla gestione dei dispositivi basata su SNMP. Cisco raccomanda fortemente l’aggiornamento a IOS XE Release 17.15.4a o successiva per risolvere completamente il problema e prevenire ulteriori esposizioni.
Poiché le vulnerabilità zero-day critiche in software ampiamente utilizzati continuano a crescere e sono sempre più sfruttate in natura, la risposta rapida da parte dei difensori è diventata assolutamente cruciale. Affidati alla suite completa di SOC Prime, supportata da AI, automazione e threat intelligence in tempo reale, per rimanere sempre un passo avanti rispetto alle minacce più critiche.
