Cisco SNMP sérülékenység aktív kihasználása
A Trend Micro kutatói nyilvánosságra hozták egy új kampány részleteit, amely a Cisco IOS Software és az IOS XE Software rendszereket érintő, nemrégiben felfedezett biztonsági rést használt ki Linux rootkitek telepítésére régebbi, védelem nélküli rendszereken. A Trend Micro által Operation Zero Disco kódnévvel ellátott kibertevékenység a CVE-2025-20352 (CVSS pontszám: 7,7) kihasználását jelenti, amely egy stack overflow sérülékenység a Simple Network Management Protocol (SNMP) alrendszerben, amely lehetővé teheti egy hitelesített, távoli támadó számára, hogy tetszőleges kódot futtasson egy sérülékeny eszközre küldött, speciálisan kialakított SNMP csomagok segítségével. A behatolásokat nem tulajdonították egyetlen ismert kiberszereplőnek vagy csoportnak sem.
A hibát a Cisco a múlt hónap végén javította, de addigra már aktívan kihasználták zero-day sérülékenységként kiberszereplők. A művelet elsősorban a Cisco 9400, 9300 és a régebbi 3750G sorozatú eszközöket érintette, és további kísérletek történtek egy módosított Telnet sérülékenység (CVE-2017-3881 alapján) kihasználására a memóriához való hozzáférés lehetővé tétele érdekében.
A vállalat azt is megjegyezte, hogy a rootkitek lehetővé tették a támadók számára a távoli kódfutást és a tartós jogosulatlan hozzáférést azáltal, hogy univerzális jelszavakat állítottak be és hookokat telepítettek a Cisco IOS daemon (IOSd) memóriaterületére. Az IOSd a Linux kernelben futó szoftverfolyamatként működik.
A támadások másik figyelemre méltó aspektusa, hogy olyan áldozatokat választottak ki, akik régebbi Linux rendszereket futtatnak, és nem rendelkeznek EDR megoldásokkal, ami lehetővé tette a rootkitek telepítését.
A „Zero Disco” név arra utal, hogy a beültetett rootkit egy univerzális jelszót állít be, amely tartalmazza a „disco” szót – egy betűvel eltérve a „Cisco” szótól.
