Falha de segurança em roteadores da Cisco é explorada em ataques DDoS

A vulnerabilidade, que também permite obter controle total dos aparelhos impactados, já tem atualização para correção disponível.

André Luiz Dias Gonçalves

schedule25/09/2025, às 15:00

updateAtualizado em 25/09/2025, às 17:46

Falha de segurança em roteadores da Cisco é explorada em ataques DDoS

Fonte: Getty Images

Uma falha de segurança de alta gravidade no sistema operacional da Cisco (multinacional de tecnologia) permite que invasores utilizem roteadores e switches da marca em ataques de negação de serviço (DDoS) e obtenham controle total dos sistemas, conforme alertou a empresa na última quarta-feira (24). O erro chegou a ser explorado em uma campanha maliciosa.

Registrada como CVE-2025-20352, a chamada vulnerabilidade de dia zero afeta tanto o Cisco IOS (Internetwork Operating System) quanto o Cisco IOS XE, versão mais avançada do software de rede, enquanto o Cisco IOS XR e o NX-OS não foram impactados. Atualizações para corrigir o problema já estão disponíveis.

smart_display

Nossos vídeos em destaque

equipamentos-de-rede-de-internet — Usuários de equipamentos da Cisco devem atualizar o software dos dispositivos imediatamente. (Imagem: Getty Images)

Ataques dependem de condições específicas

Como explicou a Cisco, a falha tem relação com uma condição de estouro de pilha no subsistema Protocolo Simples de Gerenciamento de Rede (SNMP) das versões vulneráveis. Para explorá-la, invasores podem criar um pacote SNMP para o dispositivo, enviando-o por meio de redes IPv4 ou IPv6.

Se o acesso for bem-sucedido, os cibercriminosos com privilégios reduzidos têm a possibilidade de acionar condições para um ataque DoS, no qual um volume excessivo de dados é enviado ao alvo, sobrecarregando o sistema;
Já um invasor com privilégios altos consegue executar código arbitrário como usuário raiz, tendo a chance de obter controle total do sistema a partir do dispositivo vulnerável;
Porém, essas ações dependem de condições específicas, como credenciais de usuários SNMPv3 válidas ou a sequência de caracteres de comunidade somente leitura SNMPv2c para o DOS;
Cadeia de caracteres de comunidade somente leitura SNMPv1 ou v2c ou credenciais de usuário SNMPv3 válidas e credenciais administrativas ou de privilégio 15 no equipamento vulnerável para controlar o sistema.

A empresa disse ter tomado conhecimento de uma exploração bem-sucedida da falha após as credenciais de um administrador local terem sido comprometidas. Dessa forma, a marca recomendou a atualização imediata dos softwares impactados para evitar novos ataques.

Quais são os modelos afetados?

De acordo com a companhia, todos os dispositivos da marca que rodam o Cisco IOS e o Cisco IOS XE são considerados vulneráveis. Também foram afetados os switches Meraki MS390 e Cisco Catalyst série 9300 executando o Meraki CS 17 ou versões anteriores.

Maiores informações a respeito da falha e sobre os procedimentos de atualização estão disponíveis na página da fabricante. A empresa também liberou patches para corrigir outros bugs de segurança, recomendando a instalação de todos eles.

Curtiu o conteúdo? Continue acompanhando as notícias no TecMundo e compartilhe-as com os amigos nas redes sociais.

Perguntas Frequentes

O que é a vulnerabilidade CVE-2025-20352 descoberta nos dispositivos Cisco?

Trata-se de uma falha de segurança de alta gravidade que afeta os sistemas operacionais Cisco IOS e Cisco IOS XE. Ela permite que invasores explorem os dispositivos para realizar ataques de negação de serviço (DDoS) e até obtenham controle total do sistema, dependendo das credenciais disponíveis.

Quais dispositivos da Cisco foram afetados pela falha?

Todos os dispositivos que utilizam os sistemas Cisco IOS e Cisco IOS XE são considerados vulneráveis. Além disso, os switches Meraki MS390 e os modelos Cisco Catalyst da série 9300 executando o Meraki CS 17 ou versões anteriores também foram impactados.

Como a falha pode ser explorada por cibercriminosos?

A vulnerabilidade está relacionada a um estouro de pilha no subsistema SNMP (Protocolo Simples de Gerenciamento de Rede). Invasores podem enviar pacotes SNMP maliciosos via redes IPv4 ou IPv6. Com credenciais válidas, eles podem causar sobrecarga (DoS) ou executar código como usuário raiz, assumindo o controle do sistema.

O que é necessário para que um ataque seja bem-sucedido?

Os ataques dependem de condições específicas, como o uso de credenciais SNMPv3 válidas ou cadeias de comunidade somente leitura SNMPv1/v2c. Para obter controle total do sistema, o invasor precisa de credenciais administrativas ou de privilégio 15 no equipamento vulnerável.

Existe atualização disponível para corrigir a falha?

Sim. A Cisco já disponibilizou atualizações (patches) para corrigir a vulnerabilidade. A empresa recomenda que todos os usuários atualizem seus dispositivos imediatamente para evitar exploração da falha.

O que fazer se não for possível atualizar o dispositivo imediatamente?

Caso a atualização não possa ser aplicada de imediato, a Cisco recomenda mitigar o risco limitando o acesso SNMP apenas a usuários confiáveis até que os patches sejam instalados.

O que é um ataque DDoS e como ele se relaciona com essa falha?

Um ataque DDoS (Distributed Denial of Service) consiste no envio massivo de dados a um sistema, sobrecarregando-o e tornando-o inacessível. A falha nos dispositivos Cisco pode ser usada para facilitar esse tipo de ataque, transformando os equipamentos em ferramentas para sobrecarregar alvos.