Cisco Vulnerabilidades Zero Day Explotadas Activamente
Cisco ha anunciado en sus avisos de seguridad, dos vulnerabilidades día cero siendo explotadas activamente por actores de amenaza, en Cisco IOS/IOS XE, Cisco ASA y Cisco FTD. También fueron anunciadas otras vulnerabilidades, entre ellas, una vulnerabilidad crítica y ocho más de alta importancia, junto a sus parches y recomendaciones correspondientes.
CVE-2025-20352
Con una calificación CVSS 3.1 de 7.7, esta vulnerabilidad ya se encuentra bajo ataque por actores de amenaza. Afecta a dispositivos que tengan el protocolo SNMP habilitado, el cual facilita la comunicación entre dispositivos de red y es utilizado para el monitoreo y administración de éstos, de forma centralizada y eficiente.
La explotación de vulnerabilidad por parte de los actores de amenaza se puede llevar a cabo en dos escenarios distintos, sobre redes IPv4 o IPv6, según el nivel de acceso con el que cuenten los atacantes:
-
Atacantes con bajo nivel de privilegio que cuenten con “community strings” (cadenas de texto que actúan como clave para leer los datos de un dispositivo de red) de solo-lectura SNMPv2c o con credenciales SNMPv3 válidas, pueden provocar un reinicio en los dispositivos afectados, causando una denegación de servicio e interrumpiendo las operaciones de red.
-
De forma más preocupante, atacantes con alto privilegio y con “community strings” SNMPv2 o v2c de solo-lectura, en combinación con credenciales administrativas o de privilegio 15, pueden llevar a cabo ejecución de código remoto desde el usuario “root”, tomando control total de los dispositivos comprometidos.
La denegación de servicio y ejecución de código remoto son posibles debido al tipo de vulnerabilidad, llamado “stack-based buffer overflow”, que se presenta cuando se escriben más datos de los que un búfer puede almacenar, por ejemplo, por el uso de funciones recursivas excesivas.
CVE-2025-20333
Esta vulnerabilidad, que cuenta con una calificación CVSS 3.1 crítica de 9.9, ya está siendo activamente explotada, y afecta al servidor VPN de Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD). Un atacante con credenciales válidas puede lograr la ejecución de código arbitrario como root debido a una falta de validación por parte del software, de las peticiones HTTP de un usuario autenticado. Si un atacante envía una petición HTTP especialmente diseñada para sobrepasar los límites o con información mal formada, el servidor copiará esta entrada de información en su buffer interno sin revisar adecuadamente los límites, permitiendo a un atacante sobreescribir la memoria adyacente y lograr la ejecución de código arbitrario con permisos de root.
El equipo de respuesta a incidentes de Cisco reporta que ya hay intentos de explotar esta vulnerabilidad, por lo que se recomienda actualizar urgentemente.
CVE-2025-20363
Con una calificación CVSS 3.1 de 9.0, esta vulnerabilidad afecta a los servicios web de Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD), así como a Cisco IOS, Cisco IOS XE y Cisco IOS XR.
De forma similar a una de las vulnerabilidades anteriormente mencionadas, existen dos escenarios de explotación de esta vulnerabilidad según diferentes condiciones:
-
Atacante no autenticado (Cisco ASA y Cisco FTD).
-
Atacante autenticado, pero con bajos privilegios (Cisco IOS/IOS XE/IOS XR).
Lo anterior es posible debido a un mal manejo de entrada de datos mediante peticiones HTTP. Un atacante puede enviar paquetes HTTP manipulados para exponer los servicios web de un dispositivo vulnerable, permitiendo la ejecución de código arbitrario con privilegios de root, pudiendo terminar en un control total del sistema. Sin embargo, solo es posible explotar esta vulnerabilidad si se consigue sobrepasar reglas de mitigación u obteniendo información del sistema previamente (o ambos).
CVE-2025-20160
Debido a una omisión de autenticación en TACACS+, una serie de protocolos para el manejo de autenticación remota y control de accesos a través de un servidor centralizado, esta vulnerabilidad con calificación CVSS 3.1 de 8.1, puede llevar a que un atacante remoto no autenticado tenga acceso a información sensible o a sobrepasar la autenticación.
La vulnerabilidad nace a partir de una falta de verificación adecuada por parte del sistema, y solo afecta a dispositivos con TACACS+ habilitado sin un secreto compartido asignado (clave secreta que se configura en el cliente y en el servidor para cifrar y verificar la comunicación entre ambos). El sistema no verifica correctamente si se ha configurado el secreto compartido, permitiendo que un atacante intercepte y lea los mensajes TACACS+ sin cifrar, incluso suplantar al servidor TACACS+ y aceptar solicitudes de autenticación arbitrarias.
CVE-2025-20334
Una vulnerabilidad en el subsistema HTTP API de Cisco IOS XE, con calificación CVSS 3.1 de 8.8, puede permitir a un atacante remoto inyectar comandos que serán ejecutados con privilegios de root en el sistema subyacente. Para lo anterior es necesario que el atacante cuente con privilegios de administrador y que envíe una llamada especialmente diseñada a la API. Alternativamente, un atacante no autenticado podría convencer a un usuario legítimo con permisos administrativos y que haya iniciad sesión, de hacer click en un enlace manipulado.
CVE-2025-20315
Una vulnerabilidad, con calificación CVSS 3.1 de 8.6, en la función Network Based Application Recognition (NBAR) de Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar un reinicio en algún dispositivo afectado, ocasionando una denegación de servicio. Esta vulnerabilidad existe debido a una falta de validación de los límites de búfer al leer paquetes CAPWAP.
CVE-2025-20312
Esta vulnerabilidad, con calificación CVSS 3.1 de 7.7, que afecta a IOS XE, podría permitir a un atacante remoto autenticado provocar una denegación de servicio en el dispositivo afectado, debido a un mal manejo de errores al procesar solicitudes SNMP manipulados. Si un atacante envía solicitudes SMNP especialmente diseñadas, podría causar que el dispositivo se reinicie de forma inesperada. Es necesario que el atacante cuente con credenciales válidas y que cuente con “community strings” de solo-lectura para SNMPv1 o SNMPv2c, o cuentas válidas en SNMPv3
CVE-2025-20327
Con una calificación CVSS 3.1 de 7.7, esta vulnerabilidad afecta a la Web UI de Cisco IOS y podría permitir a un atacante remoto autenticado, con pocos privilegios, causar una denegación de servicio en el dispositivo afectado mediante una petición HTTP especialmente diseñada, debido a la falta de validación de la entrada de datos.
CVE-2025-20311
Esta vulnerabilidad con calificación CVSS 3.1 de 7.4, afecta a los dispositivos Catalyst 9000 Series Switches con IOS XE. Un atacante sin autenticar y adyacente al dispositivo afectado, podría enviar una trama ethernet modificada que provoque que el puerto que recibe la trama comience a descartar todas las tramas recibidas, resultando en una denegación de servicio.
CVE-2025-20313 y CVE-2025-20314
Dos vulnerabilidades en Cisco IOS XE Software Secure Boot, con calificación CVSS 3.1 de 6.7, podrían permitir a un atacante autenticado de formal local con privilegios nivel 15, o sin autenticar, pero con acceso físico a los dispositivos afectados, ejecutar código persistente en el arranque del sistema y romper la cadena de confianza. Estas vulnerabilidades se deben a una falta de validación de paquetes de software, permitiendo a un posible atacante ubicar un archivo manipulado en una ubicación específica del dispositivo afectado. Cisco escaló la severidad de estas dos vulnerabilidades debido a que permiten sobrepasar una característica mayor de seguridad en los dispositivos afectados.
Versiones Afectadas
CVE-2025-20352
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco IOS Software | SNMP habilitado y versiones entre 12.2(55)SE a 15.3(3)JPT2 | Para más información, visitar el sitio web de Cisco. |
| Cisco IOS XE Software | SNMP habilitado y versiones entre 3.5.0E y 17.18.1 | |
| Cisco IOS XE Catalyst SD-WAN | SNMP habilitado y versiones entre 16.9.1 y 16.12.5 | |
| Meraki MS390 | Software Meraki CS 17 y anteriores | Cisco IOS XE Software Release 17.15.4a |
| Catalyst 9300 Series Switches |
CVE-2025-20333
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco Secure Firewall Adaptive Security Appliance (ASA) Software | Versiones entre 9.8.1 a 9.22.1.2 | Para más información, visitar el sitio web de Cisco. |
| Cisco Secure Firewall Threat Defense (FTD) Software | Versiones entre 6.2.3 a 7.6.0 |
CVE-2025-20363
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco Secure Firewall Adaptive Security Appliance (ASA) Software | Versiones entre 9.8.1 a 9.23.1 | Para más información, visitar el sitio web de Cisco. |
| Cisco Secure Firewall Threat Defense (FTD) Software | Versiones entre 6.2.3 a 7.7.0 | |
| IOS Software | Versiones entre 12.2(15)B a 15.9(3)M11 | |
| IOS XE Software | Versiones entre 3.2.0SG a 17.17.1 | |
| IOS XR Software (32-bit) | Versiones entre 6.5.1 a 6.9.2 |
CVE-2025-20160
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco IOS Software | Versiones entre 15.2(6)e1 a 15.9(3)M11 | Para más información, visitar el sitio web de Cisco. |
| Cisco IOS XE Software | Versiones entre 3.16.8S a 17.15.3b |
CVE-2025-20334
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco IOS XE Software | Versiones entre 17.9.5 a 17.16.1a | Para más información, visitar el sitio web de Cisco. |
CVE-2025-20315
| Productos | Versiones afectadas | Versiones corregidas |
| Catalyst 8300 Series Edge Platforms | Dispositivos que utilicen Cisco IOS XE Software versión 17.16.1a | Para más información, visitar el sitio web de Cisco. |
| Catalyst 8500 Edge Platforms | ||
| Catalyst 8500L Edge Platforms | ||
| Catalyst IR8300 Rugged Series Routers | ||
| Catalyst 8300 Series Edge Platforms | ||
| Catalyst 8500 Edge Platforms | ||
| Catalyst 8500L Edge Platforms | ||
| Catalyst IR8300 Rugged Series Routers | ||
| Catalyst 8300 Series Edge Platforms | ||
| Catalyst 8500 Edge Platforms | ||
| Catalyst 8500L Edge Platforms | ||
| Catalyst IR8300 Rugged Series Routers |
CVE-2025-20312
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco IOS XE Software | Dispositivos con SNMP habilitado y entre las versiones 17.2.1 a 17.17.1 | Para más información, visitar el sitio web de Cisco. |
CVE-2025-20327
| Productos | Versiones afectadas | Versiones corregidas |
| IE 2000 Series | Todos los dispositivos con servidor HTTP habilitado y que utilicen Cisco IOS entre las versiones 15.2(6)E2 a 15.2(7)E10 | Para más información, visitar el sitio web de Cisco. |
| IE 3010 Series | ||
| IE 4000 Series | ||
| IE 4010 Series | ||
| IE 5000 Series |
CVE-2025-20311
| Productos | Versiones afectadas | Versiones corregidas |
| Catalyst 9200 Series Switches | Dispositivos que utilicen versiones anteriores de Cisco IOS XE Software 17.16.1 | Para más información, visitar el sitio web de Cisco. |
| Catalyst 9300 Series Switches | ||
| Catalyst 9400 Series Switches | ||
| Catalyst 9500 Series Switches | ||
| Catalyst 9600 Series Switches |
CVE-2025-20313 y CVE-2025-20314
| Productos | Versiones afectadas | Versiones corregidas |
| 1000 Series Integrated Services Routers | Cisco IOS XE Software 17.8.1 | Para más información, visitar el sitio web de Cisco. |
| 1100 Terminal Services Gateways | Cisco IOS XE Software 17.7.1 | |
| 4000 Series Integrated Services Routers | Cisco IOS XE Software 17.3.1 | |
| 8100 Series Secure Routers | Cisco IOS XE Software 17.15.1 | |
| 8400 Series Secure Routers | Cisco IOS XE Software 17.12.1 | |
| ASR 1000 Series Aggregation Services Routers | Cisco IOS XE Software 17.7.1 | |
| C8375-E-G2 Platforms | Cisco IOS XE Software 17.15.3 | |
| Catalyst IE3300 Rugged Series Routers | Cisco IOS XE Software 17.12.1 | |
| Catalyst IR1100 Rugged Series Routers | Cisco IOS XE Software 17.13.1 | |
| Catalyst IR8100 Heavy Duty Series Routers | Cisco IOS XE Software 17.4.1 | |
| Catalyst IR8300 Rugged Series Routers | Cisco IOS XE Software 17.7.1 | |
| Catalyst 8200 Series Edge Platforms | Cisco IOS XE Software 17.8.1 |
|
| Catalyst 8300 Series Edge Platforms | ||
| Catalyst 8500L Edge Platforms | ||
| Catalyst 9200 Series Switches | ||
| Embedded Services 3300 Series | 17.12.1 | |
| VG410 Analog Voice Gateways | 17.17.1 |
Recomendaciones
-
Actualizar urgentemente todos los dispositivos afectados.
-
Deshabilitar el acceso público de SNMP.
-
Configurar secretos compartidos de forma adecuada.
-
Verificar la correcta configuración y validación de llaves en el servidor TACACS+.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactorial.
Referencias
- Arghire, I. (2025, September 25). Cisco patches zero-day flaw affecting routers and switches. SecurityWeek. https://www.securityweek.com/cisco-patches-zero-day-flaw-affecting-routers-and-switches/
- Divya. (2025, September 25). Cisco IOS 0-Day RCE vulnerability actively targeted. GBHackers Security | #1 Globally Trusted Cyber Security News Platform. https://gbhackers.com/cisco-ios-0-day-rce-vulnerability/
- Divya. (2025, September 25). Cisco IOS/XE vulnerability allows unauthorized access to confidential data. GBHackers Security | #1 Globally Trusted Cyber Security News Platform. https://gbhackers.com/cisco-ios-xe-vulnerability-2
- Gatlan, S. (2025, September 24). Cisco warns of IOS zero-day vulnerability exploited in attacks. BleepingComputer. https://www.bleepingcomputer.com/news/security/cisco-warns-of-ios-zero-day-vulnerability-exploited-in-attacks/
- Goodin, D. (2025, September 25). As many as 2 million Cisco devices affected by actively exploited 0-day. Ars Technica. https://arstechnica.com/security/2025/09/as-many-as-2-million-cisco-devices-affected-by-actively-exploited-0-day/
