Noticias

Vulnerabilidades de alto riesgo en software Cisco IOS e IOS XE

Fecha de publicación: 

Resumen ejecutivo

Se han identificado vulnerabilidades, con puntuaciones CVSS entre 7.4 y 8.8, de riesgo alto, que afectan a software Cisco IOS e IOS XE. Estas vulnerabilidades permiten a atacantes autenticados o no autenticados comprometer la integridad de los sistemas y causar caídas del servicio, afectando así la disponibilidad de dispositivos críticos. Entre ellas destaca la CVE-2025-20352, sobre la cual el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) informó que fue explotada con éxito en entornos reales tras el compromiso de credenciales de administrador local. Se recomienda una mitigación rápida, priorizando la evaluación y aplicación de parches para proteger contra estas amenazas significativas.

Recursos afectados

  • Cisco IOS XE Software SNMP (versiones 1, 2c, y 3)
  • Cisco IOS y IOS XE Software (versiones no especificadas, pero afectadas por CVE-2025-20352)
  • Meraki MS390 (versiones anteriores a 17.15.4a)
  • Cisco Catalyst 9300 Series Switches (versiones anteriores a 17.15.4a)
  • Cisco IOS XE Software (versiones afectadas no especificadas, pero vulnerabilidad de Bypass Secure Boot)
  • Cisco IOS XE Software (versiones afectadas no especificadas, pero vulnerabilidad de NBAR)
  • Cisco IOS XE Software (versiones afectadas no especificadas, pero vulnerabilidad HTTP API)
  • Cisco IOS y IOS XE Software (versiones afectadas no especificadas, pero vulnerabilidad TACACS+)
  • Cisco Industrial Ethernet Series Switches:
    • IE 2000 Series
    • IE 3010 Series
    • IE 4000 Series
    • IE 4010 Series
    • IE 5000 Series
  • Cisco Catalyst 9000 Series Switches (incluyendo 9200, 9300, 9400, 9500, 9600)

Análisis técnico

  • CVE-2025-20334: Una vulnerabilidad en el subsistema de la API HTTP del software Cisco IOS XE podría permitir a un atacante remoto inyectar comandos que se ejecutarán con privilegios de root en el sistema operativo subyacente. Esta vulnerabilidad se debe a una validación de entrada insuficiente. Un atacante con privilegios administrativos podría explotar esta vulnerabilidad autenticándose en un sistema afectado y realizando una llamada a la API con datos manipulados. Alternativamente, un atacante no autenticado podría persuadir a un usuario legítimo con privilegios administrativos que esté actualmente conectado al sistema para que haga clic en un enlace manipulado. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios como el usuario root.
    • CWE-77
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-20315: Una vulnerabilidad en la función de Reconocimiento de Aplicaciones Basado en Red (NBAR) del software Cisco IOS XE podría permitir que un atacante remoto no autenticado cause que un dispositivo afectado se reinicie, lo que provocaría una condición de denegación de servicio (DoS). Esta vulnerabilidad se debe a un manejo inadecuado de los paquetes malformados de Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP). Un atacante podría explotar esta vulnerabilidad enviando paquetes CAPWAP malformados a través de un dispositivo afectado. Una explotación exitosa podría permitir al atacante causar que el dispositivo se reinicie inesperadamente, resultando en una condición de DoS.
    • CWE-805
    • CVSS: 8.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20160: Una vulnerabilidad en la implementación del protocolo TACACS+ en Cisco IOS Software y Cisco IOS XE Software podría permitir a un atacante remoto no autenticado ver datos sensibles o eludir la autenticación. Esta vulnerabilidad existe porque el sistema no verifica adecuadamente si el secreto compartido TACACS+ requerido está configurado. Un atacante de tipo máquina-en-el-medio podría explotar esta vulnerabilidad interceptando y leyendo mensajes TACACS+ no encriptados o suplantando el servidor TACACS+ y aceptando falsamente solicitudes de autenticación arbitrarias. Un aprovechamiento exitoso podría permitir al atacante ver información sensible en un mensaje TACACS+ o eludir la autenticación y obtener acceso al dispositivo afectado.
    • CWE-287
    • CVSS: 8.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-20327: Una vulnerabilidad en la interfaz web del software Cisco IOS podría permitir a un atacante remoto autenticado con bajos privilegios causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entradas inapropiada. Un atacante podría explotar esta vulnerabilidad enviando una URL manipulada en una solicitud HTTP. Un exploit exitoso podría permitir al atacante provocar que el dispositivo afectado se reinicie, resultando en una condición de DoS.
    • CWE-1287
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20352: Una vulnerabilidad en el subsistema del Protocolo Simple de administración de red (SNMP) del software Cisco IOS y del software Cisco IOS XE podría permitir lo siguiente: Un atacante remoto autenticado con privilegios bajos podría causar una condición de denegación de servicio (DoS) en un dispositivo afectado que esté ejecutando el software Cisco IOS o el software Cisco IOS XE. Para causar el DoS, el atacante debe tener la cadena de comunidad de solo lectura SNMPv2c o anterior, o credenciales válidas de usuario SNMPv3. Un atacante remoto autenticado con altos privilegios podría ejecutar código como el usuario root en un dispositivo afectado que esté ejecutando el software Cisco IOS XE. Para ejecutar código como el usuario root, el atacante debe tener la cadena de comunidad de solo lectura SNMPv1 o v2c, o credenciales válidas de usuario SNMPv3 y credenciales administrativas o de privilegio 15 en el dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando un paquete SNMP diseñado a un dispositivo afectado a través de redes IPv4 o IPv6. Esta vulnerabilidad se debe a una condición de desbordamiento de pila en el subsistema SNMP del software afectado. Una explotación exitosa podría permitir a un atacante con privilegios bajos hacer que el sistema afectado se reinicie, lo que resultaría en una condición de DoS, o permitir a un atacante con altos privilegios ejecutar código arbitrario como el usuario root y obtener control total del sistema afectado. Nota: Esta vulnerabilidad afecta todas las versiones de SNMP.
    • CWE-121
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotación: Detectada
  • CVE-2025-20312: Una vulnerabilidad en el subsistema del Protocolo Simple de Administración de Red (SNMP) del software Cisco IOS XE podría permitir a un atacante remoto autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo de errores inadecuado al analizar una solicitud SNMP específica. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP específica a un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo se reinicie de manera inesperada, lo que resultaría en una condición de DoS. Esta vulnerabilidad afecta las versiones SNMP 1, 2c y 3. Para explotar esta vulnerabilidad a través de SNMPv2c o versiones anteriores, el atacante debe conocer una cadena comunitaria SNMP válida de lectura-escritura o de solo lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMPv3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
    • CWE-835
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20311: Una vulnerabilidad en el manejo de ciertos tramas Ethernet en Cisco IOS XE Software para switches de la serie Catalyst 9000 podría permitir a un atacante no autenticado y adyacente bloquear un puerto de salida y hacer que se caiga todo el tráfico saliente. Esta vulnerabilidad se debe al manejo inadecuado de tramas Ethernet manipuladas. Un atacante podría explotar esta vulnerabilidad enviando tramas Ethernet manipuladas a través de un switch afectado. Un exploit exitoso podría permitir al atacante hacer que el puerto de salida al cual se reenvía la trama manipulada empiece a descartar todas las tramas, resultando en una condición de denegación de servicio (DoS).
    • CWE-19
    • CVSS: 7.4 (alta)
    • Vector CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Explotación: No detectada
  • CVE-2025-20313: Múltiples vulnerabilidades en Cisco IOS XE Software podrían permitir a un atacante autenticado, local con privilegios de nivel 15 o a un atacante no autenticado con acceso físico al dispositivo, ejecutar código persistente en el tiempo de arranque y romper la cadena de confianza. Estas vulnerabilidades se deben a la traversabilidad de rutas y a la validación incorrecta de la integridad de la imagen. Un exploit exitoso podría permitir al atacante ejecutar código persistente en el sistema operativo subyacente. Debido a que esto permite al atacante eludir una característica de seguridad importante del dispositivo, Cisco ha elevado la Calificación de Impacto de Seguridad (SIR) de este aviso de Media a Alta. Para más información sobre estas vulnerabilidades, consulte la sección Detalles ["#details"] de este aviso.
    • CWE-35
    • CVSS: 6.7 (media)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-20314: Una vulnerabilidad en Cisco IOS XE Software podría permitir a un atacante local autenticado con privilegios de nivel 15 o a un atacante no autenticado con acceso físico a un dispositivo afectado ejecutar código persistente en el arranque y romper la cadena de confianza. Esta vulnerabilidad se debe a una validación inadecuada de los paquetes de software. Un atacante podría explotar esta vulnerabilidad colocando un archivo manipulador en una ubicación específica en un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código persistente en el sistema operativo subyacente. Debido a que esta vulnerabilidad permite a un atacante eludir una característica de seguridad importante de un dispositivo, Cisco ha elevado la Calificación de Impacto de Seguridad (SIR) de este aviso de Media a Alta.
    • CWE-232
    • CVSS: 6.7 (media)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución

Para mitigar la vulnerabilidad en el protocolo TACACS+, Cisco recomienda asegurar que cada servidor TACACS+ configurado en el dispositivo tenga un secreto compartido configurado. Para optimizar la seguridad en el uso del protocolo SNMP, los administradores deben crear vistas SNMP que excluyan OIDs vulnerables y permitir el acceso SNMP solo desde dispositivos de red confiables. Adicionalmente, es aconsejable que se desactive la función HTTP Server si está habilitada, utilizando los comandos no ip http server y no ip http secure-server. Para remediar completamente las vulnerabilidades identificadas, Cisco enfatiza la importancia de actualizar el software a las versiones corregidas indicadas en sus avisos.

Referencias adicionales