كشفت شركة الأمن السيبراني تريند مايكرو عن عملية زيرو ديسكو، وهي حملة تستغل ثغرة حرجة في SNMP لسيسكو لتثبيت روتكيتات على أجهزة الشبكة. يستهدف الهجوم المفاتيح الأقدم، مما يمكن الوصول المستمر وتجنب الكشف. حتى أكتوبر 2025، قد أثرت على شبكات المؤسسات التي تعتمد على البنية التحتية العتيقة.
كشف باحثو تريند مايكرو عن عملية زيرو ديسكو، وهي حملة هجومية تستغل بنشاط CVE-2025-20352، وهي ثغرة في تدفق البيانات الزائد في تنفيذ بروتوكول إدارة الشبكة البسيط (SNMP) لشركة سيسكو في برمجيات IOS XE. تؤثر هذه الثغرة على بنى المفاتيح ذات 32 بت و64 بت، مما يسمح بتنفيذ كود عن بعد (RCE) عبر حزم SNMP Get-Request المصممة، خاصة عندما تستخدم الأجهزة سلاسل مجتمع افتراضية مثل 'public'.
تركز الحملة بشكل أساسي على نماذج سيسكو الأقدم، بما في ذلك سلسلة 3750G المُسحبة، بالإضافة إلى خطوط 9400 و9300 النشطة. أكدت سيسكو التأثيرات، مشيرة إلى أن الأجهزة العتيقة تفتقر إلى الحمايات الحديثة مثل تهيئة مساحة العنوان العشوائية (ASLR)، على الرغم من أن النماذج الأحدث يمكن اختراقها بمحاولات متكررة. بمجرد الاستغلال، ينشر المهاجمون روتكيت لينكس متطور يُنشئ إصرارًا بدون ملفات من خلال تعديلات في مساحة الذاكرة IOSd، مما يضمن بقاء النشاط بعد إعادة التشغيل.
يُدخل الروتكيت كلمة مرور عالمية تحتوي على 'disco'—إشارة إلى سيسكو—مربوطًا بإجراءات المصادقة منخفضة المستوى لتجاوز AAA، تسجيل الدخول المحلي، وكلمات المرور المُمكنة. مكون تحكم يعتمد على UDP، يعمل على أي منفذ، يسمح للمهاجمين بتبديل التسجيل، حذف السجلات، تجاوز قوائم التحكم في الوصول، وإخفاء تغييرات التكوين بإعادة تعيين الطوابع الزمنية. تشمل العناصر المخفية أسماء حسابات مثل 'dg3y8dpk' إلى 'dg7y8hpk'، نصوص مدير الأحداث المضمن (EEM) 'CiscoEMX-1' إلى 'CiscoEMX-5'، وقوائم التحكم في الوصول (ACL) مثل 'EnaQWklg0' إلى 'EnaQWklg2'.
يربط المهاجمون الاستغلال بإصدار معدل من CVE-2017-3881، وهي ثغرة تيلنت سابقة مُعاد استخدامها لعمليات قراءة وكتابة ذاكرة تعسفية. يمكن ذلك من التسلل المتقدم: التلاعب بتوجيه VLAN لربط الشرائح، انتحال عنوان IP للمضيفين الموثوقين لتجنب الجدران النارية، وانتحال ARP عبر ثنائيات shell الضيف لاختطاف الحركة وتعطيل الأجهزة. في الأهداف ذات 32 بت، حزم SNMP المجزأة تهرب أوامر مثل '$(ps -a'; في 64 بت، الامتيازات المرتفعة تنشط shells الضيف لما بعد الاستغلال.
تبرز العملية المخاطر في معدات الشبكة العتيقة غير المُصححة بدون كشف نقاط النهاية. لا توجد أداة كشف آلية، مما يتطلب تحقيقات يدوية في مركز مساعدة تقنية سيسكو (TAC). توصي تريند مايكرو بتصحيح CVE-2025-20352، تقييد SNMP إلى مجتمعات مصادقة، واستخدام أدوات مثل Cloud One Network Security مع قواعد 46396 لاستغلال SNMP و5497/5488 للحركة UDP.