A Cisco Systems emitiu um consultor de segurança de alta prioridade que aborda várias vulnerabilidades críticas no recurso de troca de chaves da Internet (IKEV2) em seu portfólio de produtos de rede e segurança.
Publicado em 14 de agosto de 2025, os avisos avisam de seis vulnerabilidades separadas que poderiam permitir que atacantes remotos não autenticados lançem ataques de negação de serviço Contra dispositivos afetados, causando falhas de sistema e interrupções do sistema.
Falhas críticas permitem DOS remotos
As vulnerabilidades, rastreadas sob Identificadores CVE CVE-2025-20224, CVE-2025-20225, CVE-2025-20239, CVE-2025-20252, CVE-2025-20253 e CVE-2025 Pack Packs, do CVE-2025.
A vulnerabilidade mais grave, CVE-2025-20253, carrega uma pontuação básica de CVSS de 8,6, indicando alta severidade com o potencial de impacto significativo nos sistemas afetados.
Essas falhas apresentam vários vetores de ataque e possíveis impactos:
- Método de ataque: Os atacantes podem explorar o protocolo IKEV2 enviando pacotes especialmente criados para dispositivos vulneráveis.
- Exaustão de recursos: Exploração bem -sucedida pode resultar em loops infinitos que os recursos do sistema de escape.
- Problemas de memória: Os ataques podem desencadear vazamentos de memória que levam à instabilidade do sistema.
- IOS/IOS XE Impacto: Para o software Cisco iOS e iOS XE, os ataques podem forçar as reinicializações imediatas do dispositivo.
- ASA/FTD Impacto: O software Secure Firewall ASA e FTD da Cisco pode experimentar exaustão parcial da memória, impedindo o novo estabelecimento de sessão da VPN e exigindo reinicializações manuais do sistema para recuperação.
As vulnerabilidades são particularmente preocupantes porque não exigem autenticação e podem ser exploradas remotamente sobre conexões de rede.
A equipe de resposta a incidentes de segurança de produtos da Cisco confirmou que, embora nenhuma exploração pública tenha sido observada, os detalhes técnicos fornecidos no consultoria poderiam ser potencialmente alavancados por atores maliciosos.
Vários produtos afetados, detecção disponível
As vulnerabilidades afetam múltiplas Produto da Cisco Famílias, incluindo o software iOS, o software iOS XE, o software Secure Firewall Adaptive Security Appliance (ASA) e o software seguro de defesa de ameaças do firewall (FTD).
No entanto, o escopo varia de acordo com o CVE específico, com alguns afetando todas as quatro linhas de produtos, enquanto outros são limitados apenas aos sistemas ASA e FTD.
Para organizações que executam sistemas potencialmente afetados, a Cisco forneceu métodos detalhados de detecção. Os usuários do iOS e iOS XE podem verificar a exposição à vulnerabilidade usando o comando “Mostrar UDP | incluir 500” para identificar se o processamento IKE está ativo, seguido de “Mostrar mapa de criptografia” para confirmar o uso do IKEV2.
Para implantações ASA e FTD, os administradores devem usar “Mostrar Crypto Ikev2 | incluir a ativação” para determinar se o IKEV2 está ativado em qualquer interfaces.
Notavelmente, as vulnerabilidades não afetam o software IOS XR da Cisco, os produtos Meraki, o software NX-OS ou o Secure Firewall Management Center (FMC), limitando o escopo do potencial impacto no ecossistema de produtos mais amplo da Cisco.
Atualizações disponíveis, sem soluções alternativas
Cisco tem lançado Atualizações abrangentes de software abordando todas as vulnerabilidades identificadas, disponibilizando patches através de canais de suporte padrão para clientes com contratos de serviço ativos.
A Companhia enfatiza que não existem soluções alternativas para essas vulnerabilidades, fazendo atualizações de software a única estratégia de mitigação eficaz.
A gigante da rede implantou sua ferramenta de verificador de software para ajudar os clientes a identificar versões vulneráveis e determinar os caminhos de atualização apropriados.
As organizações são fortemente aconselhadas a priorizar essas atualizações, dadas as classificações de alta gravidade e a falta de medidas de proteção alternativas.
Os clientes sem contratos de serviço podem obter os patches necessários entrando em contato com o Centro de Assistência Técnica da Cisco com a prova do consultor de segurança como evidência de direito a atualizações gratuitas de segurança.
AWS Security Services:10-Point Executive Checklist -Download for Free