Por Mid 
Cisco aborda una vulnerabilidad zero-day que permitía la ejecución de código raíz en routers y switches – Una Al Día
Tiempo estimado de lectura: 4 minutos
Dificultad técnica: Alta
Conclusiones clave
- Una vulnerabilidad crítica (CVE-2025-20352) permite la ejecución de código como root en dispositivos IOS e IOS XE.
- Impacto severo que puede resultar en interrupciones de servicio y filtraciones de información.
- Se recomienda aplicar parches de seguridad y restringir accesos SNMP a la brevedad.
- La explotación de esta vulnerabilidad ya se estaba llevando a cabo en escenarios reales.
- Es fundamental implementar medidas de seguridad y monitorizar accesos no autorizados.
Índice
- Vulnerabilidad CVE-2025-20352
- Impacto en dispositivos afectados
- Recomendaciones de seguridad
- Conclusiones finales
Vulnerabilidad CVE-2025-20352
Recientemente, Cisco ha lanzado parches para una vulnerabilidad crítica de tipo zero-day (CVE-2025-20352) que permite a atacantes remotos con privilegios elevados ejecutar código como root en dispositivos que utilizan IOS e IOS XE. Este fallo ya estaba en fase de explotación en escenarios reales.
El aviso de Cisco incluirá varios parches destinados a IOS e IOS XE, tras la identificación de la vulnerabilidad (CVE-2025-20352) que afecta a ciertos modelos de routers y switches, entre los que se encuentran los Meraki MS390 y Catalyst 9300, específicamente en determinadas versiones. Este defecto, con un puntaje CVSS de 7.7, se localiza en el subsistema SNMP y puede ser explotado mediante el envío de paquetes elaborados de manera particular.
Impacto en dispositivos afectados
Un atacante que tenga acceso a la cadena community SNMPv1/v2c de sola lectura o cuente con credenciales SNMPv3 válidas, además de privilegios administrativos, es capaz de realizar una ejecución remota de código (RCE) como root. Este problema implica un desbordamiento de pila, y ya existen pruebas de concepto disponibles que demuestran vulnerabilidades asociadas a esta serie de actualizaciones.
El principal riesgo es severo, ya que permite la ejecución de comandos arbitrarios como root en los dispositivos comprometidos. Esto proporciona un control total sobre el dispositivo, lo que resulta en interrupciones del servicio (DoS), filtraciones de información o la inclusión de software malicioso en la infraestructura de red empresarial. Se ha detectado que la explotación de esta vulnerabilidad ya se estaba llevando a cabo mediante el robo de credenciales administrativas.
Recomendaciones de seguridad
Es imperativo actualizar a la mayor brevedad posible con las versiones corregidas de IOS e IOS XE. Asimismo, se recomienda revisar y restringir la exposición del SNMP, limitar el uso de cadenas community predeterminadas y aplicar el principio de privilegio mínimo en las credenciales administrativas. Es fundamental monitorizar los registros en busca de accesos no autorizados y mantenerse actualizado sobre los boletines de seguridad emitidos oficialmente.
Conclusiones finales
Las infraestructuras de red de Cisco siguen siendo un objetivo principal de ciberataques, por lo que es esencial mantener los sistemas al día y fortalecer las políticas de acceso SNMP para minimizar el riesgo de intrusiones que puedan tener un impacto crítico en la organización.