Când vulnerabilități vechi și noi coexistă pe un echipament de rețea, rezultatul poate fi o infiltrație tăcută și dificil de detectat. Trend Micro a identificat o campanie în care atacatori au exploatat o vulnerabilitate recent corectată, CVE-2025-20352, din implementarea SNMP a Cisco IOS și IOS XE pentru a obține execuție de cod la distanță pe echipamente Cisco 9400, 9300 și pe seriile mai vechi 3750G. Ulterior, profitând de lipsa soluțiilor EDR pe anumite sisteme Linux mai vechi, atacatorii au instalat rootkituri care vizează atât infrastructura de rețea, cât și gazdele neprotejate.
Vulnerabilitatea SNMP permite execuție de cod la distanță doar dacă atacatorul obține privilegii root; totuși, Cisco a clasificat acest bug ca zero-day exploatat, iar PSIRT a confirmat exploatări reușite. Trend Micro a denumit operațiunea Operation Zero Disco, deoarece unul dintre parolele universale setate de malware conține cuvântul disco, o notă macabră în „repertoriul” atacatorilor. Raportul indică și încercări de a valorifica o vulnerabilitate mai veche, CVE-2017-3881, din codul Cluster Management Protocol al IOS și IOS XE, demonstrând că unele breșe rămân relevante mult timp.
Rootkitul instalat pe switch-uri oferă un set surprinzător de potent de funcționalități: un controller UDP capabil să asculte pe orice port, posibilitatea de a elimina sau opri jurnalele, ocolirea AAA și a listelor VTY ACL, activare/dezactivare a parolei universale, ascunderea unor elemente din configurația curentă și resetarea timestamp-ului ultimei modificări pentru aceste elemente. Într-un atac demonstrativ, cercetătorii au arătat cum pot opri logările, falsifica o adresă IP intermediară prin ARP spoofing, ocoli regulile firewall-ului intern și mișca lateral între VLAN-uri, o combinație care poate transforma un switch compromis într-un punct de lansare spre alte segmente ale rețelei.
Măsurile moderne, precum ASLR, fac echipamentele noi mai dificil de compromis, dar Trend Micro avertizează că nu le fac invulnerabile; o campanie persistentă și bine coordonată le poate compromite în continuare. Un aspect insidios al rootkitului este instalarea de hook-uri în procesul IOSd și prezența componentelor fileless care dispar după reboot, ceea ce complică detectarea și analiza post-infectare. Cercetătorii au reușit totuși să recupereze variante pe 32 și 64 biți ale exploatului SNMP, confirmând utilizarea practică a codului malițios.
În prezent nu există un instrument care să detecteze fiabil un switch Cisco compromis în acest mod. Trend Micro recomandă, în caz de suspiciune de compromitere, o investigație la nivel scăzut a firmware-ului și a regiunii ROM. Lista de indicatori de compromis asociată Operation Zero Disco este inclusă în raportul lor, iar organizațiile care operează echipamente afectate ar trebui să o consulte pentru identificare și răspuns.
Actualizare din 17 octombrie: clarificare că referirea la absența soluțiilor EDR se referea la sisteme Linux mai vechi.
Detaliile privind CVE-2025-20352, dispozitivele afectate (Cisco 9400, 9300, 3750G), comportamentul rootkitului (controller UDP, bypass AAA/VTY ACL, ascundere configurări) și legătura cu CVE-2017-3881 scot în evidență faptul că vulnerabilitățile de rețea, inclusiv cele vechi, pot servi ca platforme pentru atacuri complexe. Auditul firmware-ului și al ROM-ului, actualizările regulate și protecțiile pe gazde rămân esențiale; fără EDR pe serverele critice, vizibilitatea scade semnificativ. Ce măsuri concrete ai luat pentru echipamentele de rețea din infrastructura ta?
Fii primul care comentează