Nowe podatności SNMP w urządzeniach F5 BIG-IP oraz CISCO umożliwiają atakującym przeprowadzenie ataku DoS na system

Luki w systemie CISCO IOS: CVE-2025-20169, CVE-2025-20170 oraz CVE-2025-20171

Luki oznaczone jako CVE-2025-20169, CVE-2025-20170 i CVE-2025-20171 zostały ocenione na 7,7 w skali Common Vulnerability Scoring System (CVSS), co klasyfikuje je jako zagrożenia o wysokim poziomie ryzyka. Dotyczą oprogramowania IOS, IOS XE i IOS XR z włączoną funkcją SNMP. Odkrywcą podatności jest badacz ds. bezpieczeństwa „leg00m”, współpracujący z Trend Micro Zero Day Initiative.

Luki wynikają z nieprawidłowej obsługi błędów podczas analizowania żądań SNMP. Atakujący może wykorzystać ten problem, wysyłając spreparowane żądanie SNMP do zagrożonego urządzenia. Problem dotyczy wszystkich wersji SNMP: v1, v2c i v3.

Aby skutecznie przeprowadzić atak:

• w przypadku SNMP v2c lub starszych atakujący musi posiadać prawidłowo sformułowane wyrażenie „community string” (do odczytu/zapisu lub tylko do odczytu);
• w przypadku SNMP v3 wymagane są poprawne poświadczenia użytkownika.

Jak można zweryfikować podatną konfigurację SNMP na CISCO?

Administratorzy mogą sprawdzić konfigurację SNMP za pomocą następujących poleceń:

• Dla SNMP v1/v2c:
  show running-configuration | include snmp-server community

• Dla SNMP v3:
  show running-configuration | include snmp-server group
  show snmp user

Sposób na ograniczenia podatności w CISCO IOS

Cisco poinformowało, że nie istnieją obejścia tych luk, jednak zaleca się podjęcie następujących działań:

• ograniczenie dostępu SNMP wyłącznie do zaufanych urządzeń,
• wyłączenie podatnych identyfikatorów obiektów (OID), jeśli jest to możliwe.

Cisco aktywnie pracuje nad poprawkami eliminującymi podatności.

Luka w F5 BIG-IP – CVE-2025-21091

W przypadku systemu BIG-IP firmy F5 luka oznaczona jako CVE-2025-21091 budzi poważne obawy dotyczące bezpieczeństwa. Umożliwia ona zdalnym nieuwierzytelnionym atakującym przeprowadzenie ataku typu DoS poprzez wykorzystanie protokołu SNMP, nawet gdy wersje SNMP v1 lub v2c są wyłączone. Podatność odkrył zespół badaczy F5.

Luka została sklasyfikowana jako CWE-401 (Missing Release of Memory After Effective Lifetime), co wskazuje, że jej główną przyczyną jest niewłaściwe zarządzanie pamięcią.

Jako podatny został zidentyfikowany proces snmpd, odpowiedzialny za operacje SNMP.

Podatność dotyczy następujących wersji BIG-IP:

• 17.x: wersje 17.1.0 – 17.1.1 → naprawione w: 17.1.2,
• 16.x: wersje 16.1.0 – 16.1.5 → naprawione w: Hotfix-BIGIP-16.1.5.2.0.7.5-ENG.iso,
• 15.x: wersje 15.1.0 – 15.1.10 → naprawione w: Hotfix-BIGIP-15.1.10.6.0.11.6-ENG.iso.

Luka otrzymała ocenę 7,5 w skali CVSS v3.1, co klasyfikuje ją jako zagrożenie o wysokim poziomie. W wersji CVSS v4.0 jej ocena wzrosła do 8,7,  pozostawiając ją w kategorii wysokiego zagrożenia.

Gdy SNMP v1 lub v2c jest wyłączony w systemie BIG-IP, nieujawnione żądania mogą powodować nadmierne wykorzystanie pamięci, prowadząc do pogorszenia wydajności.

Problem utrzymuje się do momentu automatycznego lub ręcznego ponownego uruchomienia procesu snmpd. Choć luka dotyczy płaszczyzny sterowania, może pośrednio wpływać na obsługę ruchu w płaszczyźnie danych.

„Wydajność systemu może ulec pogorszeniu aż do wymuszonego lub ręcznego ponownego uruchomienia procesu snmpd. Luka ta umożliwia zdalnemu nieuwierzytelnionemu atakującemu zakłócenie działania systemu, co może skutkować odmową usługi (DoS) w systemie BIG-IP” – ostrzegają eksperci.

Sposoby ograniczenia podatności w F5 Big-IP

Użytkownicy mogą zminimalizować ryzyko wykorzystania tej luki, ponownie włączając SNMP w systemach BIG-IP poprzez wyszczególnione poniżej kroki.

1. Włącz SNMP:

Zaloguj się do powłoki TMOS: tmsh

• Włącz SNMP v1 i v2c:
  • modify sys snmp snmpv2c enable
  • modify sys snmp snmpv1 enable
• Zapisz zmiany: save /sys config
• Wyjdź z powłoki TMOS: exit

2. Ogranicz dostęp do portów SNMP:

• Skonfiguruj reguły zapory sieciowej, aby ograniczyć dostęp do portów SNMP przez interfejs zarządzania.

3. Zwiększ odporność systemu:

• Skonfiguruj systemy BIG-IP w trybie wysokiej dostępności (HA), aby zminimalizować ryzyko przestojów.

Organizacje korzystające z podatnych wersji F5 BIG-IP powinny jak najszybciej zastosować odpowiednie poprawki lub środki zaradcze, aby zapobiec potencjalnemu wykorzystaniu tej krytycznej luki.