Pas moins de 2 millions d'appareils Cisco sont touchés par une faille zero-day activement exploitée

Une recherche montre que 2 millions d'interfaces SNMP Cisco vulnérables sont exposées à Internet

Pas moins de 2 millions d'appareils Cisco sont touchés par une faille zero-day activement exploitée, une recherche montre que 2 millions d'interfaces SNMP Cisco vulnérables sont exposées à Internet.

Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day très grave dans les logiciels Cisco IOS et IOS XE, qui est actuellement exploitée dans le cadre d'attaques. Identifiée sous le numéro CVE-2025-20352, cette faille est due à une vulnérabilité de type débordement de tampon basée sur la pile, présente dans le sous-système SNMP (Simple Network Management Protocol) des logiciels IOS et IOS XE vulnérables, et affecte tous les appareils sur lesquels le protocole SNMP est activé.

Début septembre, le gouvernement américain a annoncé une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d'identifier ou de localiser trois agents des services secrets russes accusés d'avoir mené des cyberattaques contre des infrastructures critiques. Cette prime, offerte dans le cadre du programme « Récompenses pour la justice » du département d'État, vise des membres du Service fédéral de sécurité russe (FSB), qui, selon le FBI, auraient exploité une vulnérabilité connue des équipements Cisco pour infiltrer des réseaux informatiques à l'échelle mondiale, y compris des entreprises du secteur de l'énergie dans 135 pays.

Pour information, Cisco développe, fabrique et commercialise du matériel réseau, des logiciels, des équipements de télécommunication et d'autres services et produits de haute technologie. Cisco est spécialisée dans des marchés technologiques spécifiques, tels que l'Internet des objets (IoT), la sécurité des domaines, la vidéoconférence et la gestion de l'énergie, avec des produits tels que Webex, OpenDNS, Jabber, Duo Security, Silicon One et Jasper.

Récemment, Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day très grave dans les logiciels Cisco IOS et IOS XE, qui est actuellement exploitée dans le cadre d'attaques. Identifiée sous le numéro CVE-2025-20352, cette faille est due à une vulnérabilité de type débordement de tampon basée sur la pile, présente dans le sous-système SNMP (Simple Network Management Protocol) des logiciels IOS et IOS XE vulnérables, et affecte tous les appareils sur lesquels le protocole SNMP est activé.

Des attaquants distants authentifiés disposant de faibles privilèges peuvent exploiter cette vulnérabilité pour déclencher des conditions de déni de service (DoS) sur les appareils non corrigés. Les attaquants disposant de privilèges élevés, quant à eux, peuvent prendre le contrôle total des systèmes exécutant le logiciel Cisco IOS XE vulnérable en exécutant du code en tant qu'utilisateur root.


« Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet SNMP spécialement conçu à un appareil affecté sur des réseaux IPv4 ou IPv6 », a déclaré Cisco dans un avis publié. « L'équipe PSIRT (Product Security Incident Response Team) de Cisco a pris connaissance de l'exploitation réussie de cette vulnérabilité dans la nature après que les identifiants de l'administrateur local aient été compromis. Cisco recommande vivement à ses clients de passer à une version corrigée du logiciel afin de remédier à cette vulnérabilité. »

Bien qu'il n'existe aucune solution de contournement pour remédier à cette vulnérabilité autre que l'application des correctifs publiés aujourd'hui, Cisco a déclaré que les administrateurs qui ne peuvent pas mettre à niveau immédiatement le logiciel vulnérable peuvent temporairement atténuer le problème en limitant l'accès SNMP sur un système affecté aux utilisateurs de confiance. « Pour remédier complètement à cette vulnérabilité et éviter toute exposition future telle que décrite dans cet avis, Cisco recommande vivement à ses clients de mettre à niveau leur logiciel vers la version corrigée indiquée dans cet avis », a averti la société.

Aujourd'hui, Cisco a corrigé 13 autres vulnérabilités de sécurité, dont deux pour lesquelles un code d'exploitation de preuve de concept est disponible. La première, une faille de type « reflected cross-site scripting » (XSS) dans Cisco IOS XE, référencée sous le numéro CVE-2025-20240, peut être utilisée par un attaquant distant non authentifié pour voler des cookies sur des appareils vulnérables. La seconde, référencée sous le nom CVE-2025-20149, est une vulnérabilité de type déni de service qui permet à des attaquants locaux authentifiés de forcer les appareils affectés à se recharger.

En mai, la société a également corrigé une faille IOS XE de gravité maximale affectant les contrôleurs LAN sans fil, qui permettait à des attaquants non authentifiés de prendre le contrôle à distance d'appareils à l'aide d'un jeton Web JSON (JWT) codé en dur.


Voici un extrait du rapport de Cisco :

Résumé

Une vulnérabilité dans le sous-système SNMP (Simple Network Management Protocol) des logiciels Cisco IOS et Cisco IOS XE pourrait permettre ce qui suit :

• Un attaquant distant authentifié disposant de privilèges limités pourrait provoquer un déni de service (DoS) sur un périphérique affecté exécutant le logiciel Cisco IOS ou Cisco IOS XE. Pour provoquer le DoS, l'attaquant doit disposer de la chaîne de communauté en lecture seule SNMPv2c ou antérieure ou d'informations d'identification utilisateur SNMPv3 valides.
• Un attaquant distant authentifié disposant de privilèges élevés pourrait exécuter du code en tant qu'utilisateur root sur un périphérique affecté exécutant le logiciel Cisco IOS XE. Pour exécuter du code en tant qu'utilisateur root, l'attaquant doit disposer de la chaîne de communauté en lecture seule SNMPv1 ou v2c ou d'informations d'identification utilisateur SNMPv3 valides et d'informations d'identification administratives ou privilégiées 15 sur le périphérique affecté.

Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet SNMP spécialement conçu à un périphérique affecté sur des réseaux IPv4 ou IPv6.

Cette vulnérabilité est due à une condition de débordement de pile dans le sous-système SNMP du logiciel affecté. Une exploitation réussie pourrait permettre à un attaquant disposant de privilèges limités de provoquer le rechargement du système affecté, entraînant une condition de déni de service, ou permettre à un attaquant disposant de privilèges élevés d'exécuter du code arbitraire en tant qu'utilisateur root et d'obtenir le contrôle total du système affecté.

Remarque : cette vulnérabilité affecte toutes les versions de SNMP.

Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'existe aucune solution de contournement pour corriger cette vulnérabilité. Il existe une mesure d'atténuation qui corrige cette vulnérabilité.

Source : Rapport de Cisco

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

En 2024, des pirates informatiques soutenus par l'État russe ont pris pour cible des milliers d'appareils réseau associés aux secteurs des infrastructures critiques des États-Unis, selon le FBI

La sécurité reste le grand oublié dans le déploiement de l'IA : Cisco a découvert 1 100 serveurs Ollama ouverts en ligne et exposés à des accès non autorisés, ce qui crée divers risques graves pour les hôtes

Les gouvernements ont plus que jamais recours à des piratages de type "zero-day". Les menaces "zero-day" ont tendance à augmenter, même si le nombre total de détections a baissé en 2024