核心提要：

漏洞编号：CVE-2025-20352

影响范围：思科所有受支持版本的Cisco IOS和Cisco IOS XE。

潜在受害者：预估全球超过200万台暴露在互联网上的思科设备。

风险等级：CVSS评分7.7（高危）。

攻击后果：低权限用户可实现远程拒绝服务（DoS）；高权限用户可获得Root权限下的远程代码执行（RCE）。

状态：思科官方已确认该漏洞正在被积极利用。

思科（Cisco）的“数字心脏”正在滴血。

周三，思科发布了一则紧急安全公告，确认旗下广泛用于核心网络的操作系统 Cisco IOS和Cisco IOS XE中存在一个正在被在野利用的零日漏洞（Zero-Day）。该漏洞编号为CVE-2025-20352，最高可允许攻击者在受影响的设备上执行具备完全控制权的Root级代码。

此次事件的严重性非同小可。网络安全研究员指出，全球有多达200万台思科设备因配置不当，将其核心管理协议暴露在公网，正处于被利用的直接风险之下。

思科产品安全事件响应团队（PSIRT）在公告中确认，他们在本地管理员凭证被入侵后，才发现该漏洞已在现实世界中被成功利用。这一发现，直接将该漏洞推向了“必须立即修复”的最高优先级。

该漏洞的根源在于 简单网络管理协议（SNMP） 的处理组件中存在堆栈溢出（Stack Overflow）错误。SNMP是路由器和其他网络设备用于收集和管理网络信息的标准协议。

攻击者只需发送特制的SNMP数据包，即可触发该缺陷：

拒绝服务（DoS）攻击： 攻击者仅需获取设备的“只读社区字符串”（Read-only Community String，SNMP特有的身份验证形式）或有效的SNMPv3用户凭证，即可实现远程拒绝服务，导致系统崩溃。

远程代码执行（RCE）攻击： 要实现更致命的RCE，攻击者不仅需要只读社区字符串，还需要拥有受影响系统的更高权限。一旦条件满足，攻击者就能获得Root权限的RCE能力。

正如独立研究员Kevin Beaumont 在线采访时指出的：“如果你获得了Root权限下的RCE，这比管理员权限更高。这些设备本不应该允许被获得Root权限。”Root权限意味着攻击者可以对设备进行最高等级的、毫无约束的控制。

值得警惕的是，只读社区字符串通常是设备出厂时的默认配置，即使被修改，在一个组织内部也往往广为人知。这大大降低了攻击者的门槛。

安全界一直认为，将SNMP接口暴露到互联网是一种危险的做法，因为它会不必要地将内部网络信息暴露给潜在的威胁。然而，理想与现实之间存在巨大差距。

研究员Kevin Beaumont通过Shodan（网络空间搜索引擎） 的数据发现，全球有超过200万台思科设备存在这种危险的配置，直接向互联网接口开放SNMP服务。这200万设备无疑成了攻击者的“活靶子”，为该零日漏洞的在野利用提供了肥沃的土壤。

CVE-2025-20352的CVSS评分高达7.7，思科在其九月份的更新版本中总共修复了14个漏洞，其中有8个漏洞的严重性等级在6.7到8.8之间，而本次的零日漏洞无疑是其中最紧迫的一个。

思科强烈建议用户立即采取行动：

立即安装补丁：最有效的防御措施是安装思科已发布的修复软件版本。

网络隔离与访问控制：对于无法立即升级的用户，必须立即采取缓解措施——严格限制SNMP的访问权限。只允许信任的用户访问SNMP，并将SNMP访问限制在内部或隔离网络中。

监控：使用终端窗口中的snmp命令监控思科设备，及时发现异常连接或数据包。

遗憾的是，思科明确表示，目前没有有效的临时“变通方案”（Workarounds）可以完全阻止利用。

这场思科零日漏洞危机再次敲响了警钟：即使是看似寻常的网络管理协议，一旦配置不当并存在代码缺陷，也可能成为黑客攻陷核心网络的致命入口。对于任何运营关键基础设施的企业而言，配置的安全性与补丁的及时性，永远是抵御零日攻击的两条生命线。