Исследователи Trend Micro предупреждают о новой кампании Operation ZeroDisco: хакеры устанавливают руткит на старые коммутаторы Cisco, которые не получили исправление для уязвимости CVE-2025-20352. Под угрозой находятся модели серий 9400, 9300 и устаревшие 3750G, часто применяемые в корпоративных сетях.
CVE-2025-20352, оценённая на 7.7 балла CVSS, была закрыта в сентябре 2025 года, однако тысячи устройств всё ещё работают на уязвимых версиях Cisco IOS и IOS XE. Проблема связана с переполнением стека в обработчике SNMP; достаточно отправить специально сформированный IPv4/IPv6-пакет с корректной read-only community string, чтобы вызвать отказ в обслуживании, а при более высоких привилегиях — выполнить произвольный код с правами root.
В ходе атаки злоумышленники комбинируют свежий SNMP-эксплойт с доработанным Telnet-багом CVE-2017-3881, получая полный доступ к памяти устройства. На 64-битных коммутаторах руткит разворачивается бесфайлово, затем активируется универсальный пароль, содержащий слово «disco». На 32-битных системах вредонос загружается посредством дополнительного SNMP-трафика. После закрепления хакеры беспрепятственно переходят между VLAN, что облегчает боковое перемещение внутри сети.
Rootkit перехватывает любые UDP-пакеты, адресованные даже закрытым портам, управляя скрытыми функциями бэкдора. Он внедряет хуки в процесс IOSd, скрывает элементы running-config, обходит ACL для VTY-доступа, отключает историю логов и стирает временные метки конфигурации. Компоненты удаляются из памяти при перезагрузке, что серьёзно затрудняет форензику.
Риск усугубляется тем, что поисковик Shodan находит более 2 млн устройств Cisco с открытым SNMP. Кампания особенно успешна в сетях со старыми Linux-серверами без EDR-решений, где руткит остаётся незамеченным.
Автоматического способа выявить заражение пока нет. Эксперты советуют немедленно установить актуальные прошивки, отключить SNMP и Telnet или ограничить их доступ списками ACL, усилить контроль VTY и внедрить EDR. При малейшем подозрении на компрометацию следует обращаться в Cisco TAC для низкоуровневой проверки прошивки, ROM и загрузочных областей, чтобы своевременно нейтрализовать Operation ZeroDisco.