Il mondo della cybersecurity è stato scosso da una scoperta allarmante: una vulnerabilità critica nei sistemi operativi di rete più diffusi al mondo è già sotto attacco da parte di cybercriminali. La falla, denominata CVE-2025-20352, colpisce i software Cisco IOS e IOS XE, utilizzati in milioni di dispositivi di rete aziendali e governativi in tutto il globo. La gravità della situazione è amplificata dal fatto che gli hacker stanno già sfruttando attivamente questa debolezza per compromettere infrastrutture critiche.
Un protocollo di rete sotto attacco
Al centro di questa emergenza di sicurezza si trova il protocollo SNMP (Simple Network Management Protocol), uno strumento fondamentale per la gestione e il monitoraggio dei dispositivi di rete. La vulnerabilità risiede proprio nel sottosistema SNMP dei software Cisco, creando una situazione paradossale in cui lo stesso meccanismo progettato per garantire il controllo e la sicurezza della rete diventa il punto di accesso preferito dagli attaccanti.
Il difetto tecnico alla base del problema è uno stack overflow, una condizione che si verifica quando un programma tenta di utilizzare più memoria di quella disponibile nello stack. Questa anomalia può essere innescata attraverso pacchetti SNMP appositamente modificati, inviati sia tramite reti IPv4 che IPv6.
Due livelli di minaccia, un unico rischio
La peculiarità di questa vulnerabilità risiede nella sua natura "a doppio taglio". Gli attaccanti possono sfruttarla in due modalità distinte, a seconda del livello di accesso di cui dispongono. Nel primo scenario, un criminale informatico con privilegi limitati può provocare una condizione di denial of service (DoS), paralizzando completamente il dispositivo target e interrompendo i servizi di rete essenziali.
La seconda modalità di attacco rappresenta invece il vero incubo per gli amministratori di sistema. Un attaccante con privilegi elevati può ottenere l'esecuzione di codice come utente root sui sistemi IOS XE, acquisendo così il controllo totale del dispositivo. Per raggiungere questo obiettivo, il criminale deve possedere credenziali amministrative di livello 15 e la stringa di comunità SNMP appropriata.
L'allarme di Cisco: attacchi già in corso
Il team di risposta agli incidenti di sicurezza di Cisco (PSIRT) ha confermato ufficialmente che la vulnerabilità è già stata sfruttata con successo in attacchi reali. Secondo le informazioni fornite dall'azienda, i cybercriminali hanno dimostrato di essere in grado di compromettere le credenziali di amministratore locale, utilizzando poi questa falla per espandere il loro controllo sui sistemi target.
La tempistica di questa scoperta è particolarmente critica, considerando che settembre è tradizionalmente un periodo di alta attività per i team di sicurezza informatica, con molte organizzazioni che implementano nuove policy di sicurezza dopo la pausa estiva. La mancanza di workaround disponibili rende la situazione ancora più preoccupante per gli amministratori di rete.
Strategie di difesa e raccomandazioni
Di fronte a questa minaccia immediata, Cisco ha adottato una posizione chiara e diretta: non esistono soluzioni alternative efficaci. L'azienda californiana raccomanda categoricamente l'aggiornamento immediato a una versione corretta del software per eliminare completamente il rischio. Come misura temporanea, suggerisce di limitare l'accesso SNMP esclusivamente agli utenti considerati affidabili.