Zero-day en Cisco: actualice ya antes de que los atacantes obtengan acceso root en su red
Nueva vulnerabilidad de día cero ya está siendo explotada en ataques
Cisco lanzó actualizaciones de seguridad que corrigen la vulnerabilidad de día cero en los sistemas IOS e IOS XE, que ya comenzó a usarse en ataques. CVE-2025-20352 está relacionada con un desbordamiento de búfer en la pila (desbordamiento de búfer en la pila) en el subsistema SNMP y afecta a todos los dispositivos en los que ese protocolo está habilitado.
Para su explotación bastan privilegios mínimos: un atacante con una cuenta de bajos privilegios puede provocar una denegación de servicio, y quien tenga privilegios ampliados puede ejecutar comandos como root y controlar totalmente el sistema. Basta enviar un paquete SNMP especialmente diseñado por IPv4 o IPv6 para provocar un fallo o tomar el control.
En Cisco señalaron que se registraron ataques exitosos tras la compromisión de credenciales de administrador. La empresa insta a actualizar urgentemente a las versiones corregidas, ya que no existen soluciones alternativas. Como medida temporal, puede limitarse el acceso SNMP solo a usuarios de confianza.
Además se corrigieron otras 13 vulnerabilidades. Entre ellas hay dos con ejemplos de explotación publicados. La primera — CVE-2025-20240, una vulnerabilidad XSS en IOS XE que permite a un atacante sin autenticación robar cookies. La segunda — CVE-2025-20149, por la cual un usuario local autorizado puede forzar el reinicio del dispositivo.
El recordatorio de la gravedad del problema fue también la corrección publicada en mayo, cuando Cisco cerró un agujero crítico en los controladores de redes inalámbricas IOS XE. Allí los atacantes podían tomar el control sin autorización mediante un JSON Web Token codificado de forma fija. El nuevo incidente con CVE-2025-20352 confirma que la explotación de vulnerabilidades en los servicios básicos de Cisco se utiliza activamente en ataques y que es necesario responder a ellas de inmediato.