RESUMO EXECUTIVO
- Vulnerabilidade identificada no CLI do Cisco IOS e IOS XE permite DoS.
- Ataques podem ser realizados por usuários autenticados com baixa privilegiatura.
- A falha é causada por um buffer overflow, levando ao reinício inesperado do dispositivo.
- Cisco não disponibiliza workarounds, apenas atualizações de software.
- Exploração da vulnerabilidade já possui código de prova de conceito disponível.
O QUE MUDA PARA ISPs
- ISPs devem priorizar a atualização dos dispositivos afetados para evitar interrupções de serviço.
- A falta de workarounds pode aumentar o tempo de inatividade em caso de ataque.
- Necessidade de revisar configurações para eliminar o comando "shell processing full" como mitigação temporária.
CONTEXTO TÉCNICO
A vulnerabilidade classificada como CVE-2025-20149 afeta o Cisco IOS e IOS XE, permitindo que um atacante autenticado cause uma condição de negação de serviço (DoS) ao reiniciar o dispositivo. A falha é provocada por um buffer overflow, que pode ser explorado por meio de comandos maliciosos enviados pelo CLI. Cisco recomenda a atualização para versões de software corrigidas, uma vez que não existem soluções alternativas viáveis para mitigar essa vulnerabilidade.
Para verificar se um dispositivo está vulnerável, é necessário usar o comando "show run | include shell" no CLI. Se o comando retornar "shell processing full", o dispositivo está suscetível à falha. A remoção desse comando pode ser uma mitigação temporária, mas deve ser feita com cautela, considerando o impacto na funcionalidade da rede.
CONCLUSÃO
Provedores de internet devem agir rapidamente para atualizar seus sistemas e evitar possíveis interrupções de serviço devido a esta vulnerabilidade. A falta de soluções alternativas reforça a importância de manter os dispositivos sempre atualizados e monitorar as configurações de segurança.
Fontes: Cisco IOS and IOS XE Software CLI Denial of Service Vulnerability