- شناسه CVE-2025-20169 :CVE
- CWE-805 :CWE
- yes :Advisory
- منتشر شده: فوریه 5, 2025
- به روز شده: فوریه 5, 2025
- امتیاز: 7.7
- نوع حمله: Unknown
- اثر گذاری: Denial of Service (Dos)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Cisco
- محصول: IOS/IOS XE Software
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
CVE-2025-20169، یک آسیب پذیری با شدت بالا در نرم افزارهای Cisco IOS و Cisco IOS XE/XR است . آسیب پذیری بر روی بخشی از کد کامپوننت SNMP Subsystem اثر می گذارد. این آسیب پذیری می تواند به حمله دسترسی به بافر با مقدار طول نادرست (buffer access with incorrect length value) منجر شود. حمله می تواند از راه دور راه اندازی شود. بروزرسانی نرم افزار احتمال قرار گیری در معرض این آسیب پذیری را از بین می برد.
توضیحات
آسیب پذیری های متعددی در زیر سیستم پروتکل SNMP نرم افزارهای Cisco IOS/ IOS XE وجود دارد که به مهاجم احراز هویت شده این امکان را می دهد از راه دور شرایط اجتناب از سرویس (DoS) را بر روی دستگاه آسیب پذیر ایجاد کند.
این آسیب پذیری به دلیل هندلینگ نامناسب خطاها زمان پارس کردن درخواست های SNMP ایجاد شده است. یک مهاجم با ارسال درخواست هایSNMP دستکاری شده بر روی دستگاه آلوده می تواند از این آسیب پذیری ها بهره ببرد. در نتیجه یک اکسپلویت موفق، حمله کننده می تواند کاری کند که دستگاه به صورت غیرمنتظره بارگذاری مجدد(reload) شده و در نتیجه در موقعیت DoS قرار بگیرد.
این آسیب پذیری بر روی SNMP نسخه 1، 2c و 3 اثر می گذارد.
برای اکسپلویت این آسیب پذیری در SNMP v2c یا نسخه های قبل تر، مهاجم می بایست یک رشته SNMP Community معتبر در سیستم آسیب پذیر که read-only یا read-write باشد را بداند.
در خصوص SNMP v3 مهاجم به گواهینامه های SNMP معتبر کاربر در سیستم آسیب پذیر نیاز دارد.
سیستم امتیاز دهی آسیب پذیری ها بر اساس استاندارد های تحقیقاتی حوزه نمره دهی به آسیب پذیری ها، امتیازات زیر را برای شدت اثرگذاری این آسیب پذیری در نظر گرفته است.
CVSS
| Score | Severity | Version | Vector String |
| 7.7 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
این آسیب پذیری ها دستگاه هایی که یک نسخه آسیب پذیر از نرم افزار Cisco IOS, IOS XE , با قابلیت SNMP فعال را اجرا می کنند تحت تاثیر قرار می دهد. این آسیب پذیری ها بر روی کلیه نسخه های SNMP تاثیر می گذارد
تعیین تنظیمات دستگاه
برای تشخیص اینکه آیا SNMP v1 یا SNMP v2c بر روی دستگاه فعال است یا خیر، از دستور show running-configuration | include snmp-server community در محیط CLI دستگاه استفاده کنید. اگر خروجی به صورت زیر باشد یعنی این نسخه های بر روی دستگاه شما فعال است :
Router# show running-config | include snmp-server community
snmp-server community public ro
برای تعیین فعال بودن SNMP v3 ، از دستور show running-configuration | include snmp-server group و show snmp user در محیط CLI استفاده کنید. در صورتی که دستگاه خروجی برای این دستورات نشان دهد SNMP v3 روی دستگاه شما فعال است.
Router# show running-config | include snmp-server group
snmp-server group v3group v3 noauth
Router# show snmp user
User name: remoteuser1
Engine ID: 800000090300EE01E71C178C
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: None
Group-name: v3group
لیست محصولات بروز شده
توصیه شده است که کاربران نسخه فعلی خود را به یکی از نسخه های نامبرده در جدول ارتقا دهند تا از قرار گرفتن در معرض این تهدید اجتناب کنند.
| Cisco IOS Software Release | First Fixed Release |
| 15.2E | 15.2(7)E12 (Mar 2025) |
| 15.5SY | 15.5(1)SY15 (Mar 2025) |
| 15.9M | 15.9(3)M11 (Feb 2025) |
| Cisco IOS XE Software Release | First Fixed Release |
| 3.11E | 3.11.12E (Mar 2025) |
| 16.12 | 16.12.13 (Mar 2025) |
| 17.9 | 17.9.7 (Mar 2025) |
| 17.12 | 17.12.5 (Feb 2025) |
| 17.15 | 17.15.3 (Mar 2025) |
راهکار های اصلاحی
سیسکو راهکارهایی برای کاهش احتمال قرار گرفتن در معرض این آسیب پذیری ها ارائه کرده است. توصیه شده که تا زمانی که امکان ارتقا به یک نسخه ایمن تر فراهم شود ، این راهکارها را بر روی سیستم های آسیب پذیری پیاده سازی کنید.
مدیران شبکه می توانند شناسه های objectهای آسیب پذیر (OIDs) را بر روی دستگاه غیرفعال کنند. البته همه نرم افزارها OID های لیست شده را پشتیبانی نمی کنند. اگر OID برای یک نرم افزار مشخص معتبر نباشد می توان نتیجه گرفت که آن نسخه در معرض آن آسیب پذیری مشخص قرار ندارد. غیرفعال کردن این OID ها ممکن است بر مدیریت دستگاه مانند پی کردن دستگاه و موجودی دستگاه از طریق SNMP تاثیر بگذارد.
در بهترین حالت، دسترسی SNMP تنها بر روی دستگاه های قابل اعتماد شبکه باید فعال باشد.
برای غیر فعال سازی OID ها مراحل زیر را کامل کنید:
- یک SNMP view با تنظیمات امنیتی استاندارد ایجاد کنید.
snmp-server view SNMP_DOS iso included
snmp-server view SNMP_DOS snmpUsmMIB excluded
snmp-server view SNMP_DOS snmpVacmMIB excluded
snmp-server view SNMP_DOS snmpCommunityMIB excluded
- OID های آسیب پذیر را در SNMP view جدا کنید.
Cisco IOS , IOS XE Software OIDs
snmp-server view SNMP_DOS ipAddressPrefixEntry.5 excluded
snmp-server view SNMP_DOS ipDefaultRouterEntry.4 excluded
snmp-server view SNMP_DOS tcp.19.1.7 excluded
snmp-server view SNMP_DOS tcp.20.1.4 excluded
snmp-server view SNMP_DOS udp.7.1.8 excluded
snmp-server view SNMP_DOS inetCidrRouteEntry.7 excluded
snmp-server view SNMP_DOS ospfv3AreaAggregateEntry.6 excluded
snmp-server view SNMP_DOS lispMappingDatabaseLocatorRlocPriority excluded
snmp-server view SNMP_DOS mplsVpnInterfaceConfEntry.2 excluded
snmp-server view SNMP_DOS mplsVpnVrfRouteTargetEntry.4 excluded
snmp-server view SNMP_DOS mplsVpnVrfBgpNbrAddrEntry.2 excluded
snmp-server view SNMP_DOS nhrpCachePrefixLength excluded
snmp-server view SNMP_DOS nhrpServerCacheAuthoritative excluded
snmp-server view SNMP_DOS nlmLogEntry.2 excluded
snmp-server view SNMP_DOS nlmLogVariableEntry.2 excluded
snmp-server view SNMP_DOS mplsXCLspId excluded
snmp-server view SNMP_DOS mplsLabelStackLabel excluded
snmp-server view SNMP_DOS cpaeMIBObject.5.1.3 excluded
snmp-server view SNMP_DOS cContextMappingBridgeDomainIdentifier excluded
snmp-server view SNMP_DOS cilmCurrentImageLevel excluded
snmp-server view SNMP_DOS cilmImageLicenseImageLevel excluded
snmp-server view SNMP_DOS cewProxyClass excluded
snmp-server view SNMP_DOS cewEventTime excluded
snmp-server view SNMP_DOS cpwVcPeerMappingVcIndex excluded
snmp-server view SNMP_DOS ciiSummAddrEntry excluded
snmp-server view SNMP_DOS mplsLdpLspFecStorageType excluded
snmp-server view SNMP_DOS mplsL3VpnIfConfEntry.2 excluded
snmp-server view SNMP_DOS mplsL3VpnVrfRTEntry.4 excluded
snmp-server view SNMP_DOS mplsL3VpnVrfRteEntry.7 excluded
snmp-server view SNMP_DOS ciscoFlashChipEntry excluded
snmp-server view SNMP_DOS cbgpPeer2CapValue excluded
snmp-server view SNMP_DOS cbgpPeer2AddrFamilyName excluded
snmp-server view SNMP_DOS cbgpPeer2AcceptedPrefixes excluded
snmp-server view SNMP_DOS callHomeDestEmailAddressEntry.2 excluded
snmp-server view SNMP_DOS callHomeSwInventoryEntry.3 excluded
snmp-server view SNMP_DOS cEigrpActive excluded
snmp-server view SNMP_DOS cipUrpfVrfIfDrops excluded
snmp-server view SNMP_DOS cefPathType excluded
snmp-server view SNMP_DOS cefAdjSource excluded
snmp-server view SNMP_DOS cefFESelectionSpecial excluded
snmp-server view SNMP_DOS cvVrfListVrfIndex excluded
snmp-server view SNMP_DOS ctspIpSgtMappingEntry.5 excluded
snmp-server view SNMP_DOS ciiRedistributeAddrEntry.4 excluded
snmp-server view SNMP_DOS ciiIPRAEntry.5 excluded
snmp-server view SNMP_DOS ciiLSPTLVEntry.2 excluded
snmp-server view SNMP_DOS ccmSeverityAlertGroupEntry.1 excluded
snmp-server view SNMP_DOS ccmPeriodicAlertGroupEntry.1 excluded
snmp-server view SNMP_DOS ccmPatternAlertGroupEntry.2 excluded
snmp-server view SNMP_DOS callHomeUserDefCmdEntry.2 excluded
snmp-server view SNMP_DOS ccmEventAlertGroupEntry.1 excluded
snmp-server view SNMP_DOS cipsStaticCryptomapType excluded
snmp-server view SNMP_DOS ciscoFlashFileEntry.2 excluded
برای SNMP v1 یا SNMP v2c، تنظیمات فوق را به همه رشته های community تنظیم شده اعمال کنید.
snmp-server community mycomm view SNMP_DOS RO
برای SNMP v3، با استفاده از دستور زیر تنظیمات فوق را برای همه کاربران SNMP اعمال کنید.
snmp-server group v3group v3 auth read SNMP_DOS write SNMP_DOS
در حالی که این راهکارهای اصلاحی نتایج مثبتی در محیط تست از خود نشان داده اند، کاربران می بایست قابلیت اجرایی و موثر بودن آنها را در محیط خود و تحت شرایط خودشان ارزیابی کنند. کاربران می بایست بدانند که این راهکارهای اصلاحی ممکن است تاثیرات منفی بر عملکرد و توان اجرایی شبکه شان داشته باشد. بهتر است پیش از بکار گیری این روش ها یک ارزیابی دقیق از قابلیت اجرایی این دستورات در محیط شبکه خود و هرگونه تاثیری که بر محیط شبکه شما خواهد گذاشت انجام دهید.
نتیجه گیری
آسیب پذیری فوق در دسته آسیب پذیری های سطح بالا دسته بندی می شود. توصیه شده نسبت به ارتقای نسخه فعلی به نسخه های بالاتر اقدام کنید تا در معرض این آسیب پذیری قرار نگیرند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20169
- https://www.cvedetails.com/cve/CVE-2025-20169/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-dos-sdxnSUcW#vp
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20169&sortby=bydate
- https://vuldb.com/?id.294746
- https://cwe.mitre.org/data/definitions/805.html
