- \n
- Cisco IOS e IOS XE <\/strong>que tengan habilitado el protocolo SNMP (Simple Network Management Protocol)<\/li>\n<\/ul>\n\n\n\n
Se incluyen switches Cisco Catalyst 9300<\/strong> y Meraki MS390<\/strong> ejecutando Meraki CS 17<\/strong> o versiones anteriores, as\u00ed como routers y otros dispositivos que ejecutan IOS\/IOS XE.<\/em><\/p>\n\n\n\n
Para la CVE-2025-20333<\/strong><\/p>\n\n\n\n
- \n
- Cisco Secure Firewall ASA (Adaptive Security Appliance)<\/strong> y Cisco Secure Firewall Threat Defense (FTD) <\/strong>en versiones ASA 9.16, 9.17, 9.18, 9.19, 9.20, 9.22, y FTD 7.0, 7.2, 7.4, 7.6<\/strong><\/li>\n<\/ul>\n\n\n\n
Descripci\u00f3n<\/h2>\n\n\n\n
Recientemente, el equipo de seguridad de Cisco<\/strong> report\u00f3 y public\u00f3 varias vulnerabilidades cr\u00edticas como parte de un conjunto de actualizaciones. Identificadas bajo el CVE-2025-20352<\/strong>, la cual trata de un desbordamiento de pila en la implementaci\u00f3n de SNMP<\/strong> dentro de IOS\/IOS XE, que recibi\u00f3 una calificaci\u00f3n de severidad alta con un puntaje CVSS de 7.7<\/strong>, adem\u00e1s se publico la CVE-2025-20333<\/strong>, una zero-day que aparece como un fallo de validaci\u00f3n incorrecta de entrada (input validation) en solicitudes HTTP(S), que permite a un atacante autenticado ejecutar c\u00f3digo arbitrario con CVSS de 9.9 considerada de muy alta severidad.<\/p>\n\n\n\n
La vulnerabilidad CVE-2025-20352<\/strong> puede ser aprovechada mediante el env\u00edo de paquetes SNMP especialmente dise\u00f1ados sobre IPv4 o IPv6. Un atacante que cuente con la cadena \u201cread-only community string\u201d en SNMP v1\/v2c o credenciales v\u00e1lidas en SNMP v3 puede provocar un reinicio del dispositivo (denegaci\u00f3n de servicio)<\/strong>. Si, adem\u00e1s, obtiene credenciales con privilegio de administraci\u00f3n (nivel 15 en IOS XE), es posible escalar el ataque hasta lograr la ejecuci\u00f3n remota de c\u00f3digo (RCE) como usuario root<\/strong> en el sistema operativo del dispositivo, comprometiendo por completo su integridad. Cisco inform\u00f3 que los casos observados en explotaci\u00f3n real ocurrieron tras el robo o compromiso de credenciales administrativas, lo que facilit\u00f3 la ejecuci\u00f3n del ataque.<\/p>\n\n\n\n
Seg\u00fan Shodan a septiembre de 2025, en Mexico existe una exposici\u00f3n actual a esta vulnerabilidad de 453 panales Cisco ASA expuestos y 55852 a nivel mundial.<\/p>\n\n\n\n
![\"\"](\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/09\/image.gif\")
<\/figure>\n\n\n\nEn la vulnerabilidad CVE-2025-20333, <\/strong>un atacante, con credenciales v\u00e1lidas para VPN WebVPN del dispositivo ASA\/FTD, puede enviar solicitudes HTTP(S) malformadas al servidor web interno del dispositivo. Si tiene \u00e9xito, puede ejecutar c\u00f3digo con privilegios root en el dispositivo afectado, comprometiendo completamente su seguridad. Adicionalmente, se han reportado t\u00e9cnicas de persistencia mediante manipulaci\u00f3n del ROMMON en dispositivos comprometidos, siendo esta manipulaci\u00f3n parte de la actividad observada, aunque no necesariamente parte directa de la explotaci\u00f3n inicial del CVE.<\/p>\n\n\n\n
Cisco confirm\u00f3 que la falla CVE-2025-20352<\/strong> ya est\u00e1 siendo explotada activamente<\/strong> en entornos reales, lo que incrementa el nivel de riesgo para organizaciones que a\u00fan no han aplicado las correcciones.<\/p>\n\n\n\n
Mitigaci\u00f3n y soluci\u00f3n:<\/h2>\n\n\n\n
Cisco ha publicado parches oficiales que corrigen ambas vulnerabilidades tanto para dispositivos en IOS e IOS XE como para ASA y FTD. La soluci\u00f3n recomendada es actualizar los dispositivos afectados a versiones corregidas, como IOS XE 17.15.4a o posteriores<\/strong> en el caso de switches Catalyst y Meraki y versiones parcheadas de ASA y FTD.<\/p>\n\n\n\n
Mientras la actualizaci\u00f3n no sea posible, se sugieren medidas de mitigaci\u00f3n temporales:<\/p>\n\n\n\n
- \n
- Restringir el acceso a SNMP \u00fanicamente a direcciones IP de redes confiables.<\/li>\n\n\n\n
- Deshabilitar el OID vulnerable de SNMP si la configuraci\u00f3n del dispositivo lo permite.<\/li>\n\n\n\n
- Monitorizar los hosts SNMP configurados mediante el comando \u201cshow snmp host\u201d para detectar accesos inesperados o no autorizados.<\/li>\n\n\n\n
- Para ASA y FTD no se conocen mitigaciones \u201ctemporales\u201d confiables o workarounds simples proporcionados por Cisco: la recomendaci\u00f3n prioritaria es aplicar el parche cuanto antes.<\/li>\n\n\n\n
- En entornos con sospecha de compromiso, es esencial recolectar volcados de memoria (memory dumps) y realizar an\u00e1lisis forense del estado del sistema, especialmente del proceso WebVPN y de la carga de m\u00f3dulos modificados en ROMMON si se sospecha persistencia.<\/li>\n\n\n\n
- Tras la aplicaci\u00f3n del parche, revisar logs hist\u00f3ricos del WebVPN para peticiones malformadas, clientes VPN sospechosos y patrones de tr\u00e1fico an\u00f3malos.<\/li>\n\n\n\n
- Reforzar la segmentaci\u00f3n de acceso VPN, pol\u00edticas de acceso al portal WebVPN, y monitoreo continuo de actividades fuera de lo com\u00fan.<\/li>\n<\/ul>\n\n\n\n
Adem\u00e1s, se recomienda reforzar la gesti\u00f3n de credenciales administrativas, asegurando contrase\u00f1as robustas, autenticaci\u00f3n de m\u00faltiples factores en accesos remotos, y monitoreo activo de intentos de acceso sospechosos.<\/p>\n\n\n\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
- \n
- Cisco fixes IOS\/IOS XE zero-day exploited by attackers (CVE-2025-20352) – Help Net Security<\/a><\/li>\n\n\n\n
- Cisco Warns of Actively Exploited SNMP Vulnerability Allowing RCE or DoS in IOS Software<\/a><\/li>\n\n\n\n
- Cisco Patches Zero-Day Flaw Affecting Routers and Switches – SecurityWeek<\/a><\/li>\n\n\n\n
- Cisco uncovers new SNMP vulnerability used in attacks on IOS devices | CyberScoop<\/a><\/li>\n\n\n\n
- Cisco Event Response: Continued Attacks Against Cisco Firewalls<\/a><\/li>\n\n\n\n
- CVE-2025-20333, CVE-2025-20362: Cisco Zero-Days Exploited | Tenable\u00ae<\/a><\/li>\n\n\n\n
- Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":10968,"template":"","class_list":["post-11023","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"77","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11023\/revisions"}],"predecessor-version":[{"id":11026,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11023\/revisions\/11026"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10968"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Cisco Warns of Actively Exploited SNMP Vulnerability Allowing RCE or DoS in IOS Software<\/a><\/li>\n\n\n\n
- Cisco fixes IOS\/IOS XE zero-day exploited by attackers (CVE-2025-20352) – Help Net Security<\/a><\/li>\n\n\n\n
- Cisco Secure Firewall ASA (Adaptive Security Appliance)<\/strong> y Cisco Secure Firewall Threat Defense (FTD) <\/strong>en versiones ASA 9.16, 9.17, 9.18, 9.19, 9.20, 9.22, y FTD 7.0, 7.2, 7.4, 7.6<\/strong><\/li>\n<\/ul>\n\n\n\n