Menu dostępności

Nowe podatności SNMP w urządzeniach F5 BIG-IP oraz CISCO umożliwiają atakującym przeprowadzenie ataku DoS na system

Wykorzystanie przez atakujących szeregu luk o wysokim stopniu zagrożenia w implementacji Simple Network Management Protocol (SNMP) może pozwolić nieuwierzytelnionym zdalnym atakującym na przeprowadzenie ataku typu Denial-of-Service (DoS) na dotkniętych urządzeniach CISCO oraz F5 BIG-IP.

Luki w systemie CISCO IOS: CVE-2025-20169, CVE-2025-20170 oraz CVE-2025-20171

Luki oznaczone jako CVE-2025-20169, CVE-2025-20170 i CVE-2025-20171 zostały ocenione na 7,7 w skali Common Vulnerability Scoring System (CVSS), co klasyfikuje je jako zagrożenia o wysokim poziomie ryzyka. Dotyczą oprogramowania IOS, IOS XE i IOS XR z włączoną funkcją SNMP. Odkrywcą podatności jest badacz ds. bezpieczeństwa „leg00m”, współpracujący z Trend Micro Zero Day Initiative.

Luki wynikają z nieprawidłowej obsługi błędów podczas analizowania żądań SNMP. Atakujący może wykorzystać ten problem, wysyłając spreparowane żądanie SNMP do zagrożonego urządzenia. Problem dotyczy wszystkich wersji SNMP: v1, v2c i v3.

Aby skutecznie przeprowadzić atak:

  • w przypadku SNMP v2c lub starszych atakujący musi posiadać prawidłowo sformułowane wyrażenie „community string” (do odczytu/zapisu lub tylko do odczytu);
  • w przypadku SNMP v3 wymagane są poprawne poświadczenia użytkownika.

Jak można zweryfikować podatną konfigurację SNMP na CISCO?

Administratorzy mogą sprawdzić konfigurację SNMP za pomocą następujących poleceń:

  • Dla SNMP v1/v2c:
    show running-configuration | include snmp-server community
  • Dla SNMP v3:
    show running-configuration | include snmp-server group
    show snmp user

Sposób na ograniczenia podatności w CISCO IOS

Cisco poinformowało, że nie istnieją obejścia tych luk, jednak zaleca się podjęcie następujących działań:

  • ograniczenie dostępu SNMP wyłącznie do zaufanych urządzeń,
  • wyłączenie podatnych identyfikatorów obiektów (OID), jeśli jest to możliwe.

Cisco aktywnie pracuje nad poprawkami eliminującymi podatności.

Luka w F5 BIG-IP – CVE-2025-21091

W przypadku systemu BIG-IP firmy F5 luka oznaczona jako CVE-2025-21091 budzi poważne obawy dotyczące bezpieczeństwa. Umożliwia ona zdalnym nieuwierzytelnionym atakującym przeprowadzenie ataku typu DoS poprzez wykorzystanie protokołu SNMP, nawet gdy wersje SNMP v1 lub v2c są wyłączone. Podatność odkrył zespół badaczy F5.

Luka została sklasyfikowana jako CWE-401 (Missing Release of Memory After Effective Lifetime), co wskazuje, że jej główną przyczyną jest niewłaściwe zarządzanie pamięcią.

Jako podatny został zidentyfikowany proces snmpd, odpowiedzialny za operacje SNMP.

Podatność dotyczy następujących wersji BIG-IP:

  • 17.x: wersje 17.1.0 – 17.1.1 → naprawione w: 17.1.2,
  • 16.x: wersje 16.1.0 – 16.1.5 → naprawione w: Hotfix-BIGIP-16.1.5.2.0.7.5-ENG.iso,
  • 15.x: wersje 15.1.0 – 15.1.10 → naprawione w: Hotfix-BIGIP-15.1.10.6.0.11.6-ENG.iso.

Luka otrzymała ocenę 7,5 w skali CVSS v3.1, co klasyfikuje ją jako zagrożenie o wysokim poziomie. W wersji CVSS v4.0 jej ocena wzrosła do 8,7,  pozostawiając ją w kategorii wysokiego zagrożenia.

Gdy SNMP v1 lub v2c jest wyłączony w systemie BIG-IP, nieujawnione żądania mogą powodować nadmierne wykorzystanie pamięci, prowadząc do pogorszenia wydajności.

Problem utrzymuje się do momentu automatycznego lub ręcznego ponownego uruchomienia procesu snmpd. Choć luka dotyczy płaszczyzny sterowania, może pośrednio wpływać na obsługę ruchu w płaszczyźnie danych.

„Wydajność systemu może ulec pogorszeniu aż do wymuszonego lub ręcznego ponownego uruchomienia procesu snmpd. Luka ta umożliwia zdalnemu nieuwierzytelnionemu atakującemu zakłócenie działania systemu, co może skutkować odmową usługi (DoS) w systemie BIG-IP” – ostrzegają eksperci.

Sposoby ograniczenia podatności w F5 Big-IP

Użytkownicy mogą zminimalizować ryzyko wykorzystania tej luki, ponownie włączając SNMP w systemach BIG-IP poprzez wyszczególnione poniżej kroki.

1. Włącz SNMP:

Zaloguj się do powłoki TMOS: tmsh

  • Włącz SNMP v1 i v2c:
    • modify sys snmp snmpv2c enable
    • modify sys snmp snmpv1 enable
  • Zapisz zmiany: save /sys config
  • Wyjdź z powłoki TMOS: exit

2. Ogranicz dostęp do portów SNMP:

  • Skonfiguruj reguły zapory sieciowej, aby ograniczyć dostęp do portów SNMP przez interfejs zarządzania.

3. Zwiększ odporność systemu:

  • Skonfiguruj systemy BIG-IP w trybie wysokiej dostępności (HA), aby zminimalizować ryzyko przestojów.

Organizacje korzystające z podatnych wersji F5 BIG-IP powinny jak najszybciej zastosować odpowiednie poprawki lub środki zaradcze, aby zapobiec potencjalnemu wykorzystaniu tej krytycznej luki.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...