عملية زيرو ديسكو تستغل ثغرة SNMP في سيسكو لزرع الروتكيت

كشف باحثو تريند مايكرو عن عملية زيرو ديسكو، وهي حملة إلكترونية تستغل CVE-2025-20352، وهي ثغرة تجاوز كومة في نظام SNMP الفرعي لبرمجيات Cisco IOS وIOS XE. مصنفة بـ CVSS 7.7، تسمح الثغرة للمهاجمين المصادق عليهم عن بعد بإثارة حالات رفض الخدمة بصلاحيات منخفضة أو تحقيق تنفيذ كود رئيسي بصلاحيات عالية من خلال إرسال حزم SNMP مصممة عبر شبكات IPv4 أو IPv6. تؤثر الثغرة على جميع الأجهزة التي يتم تمكين SNMP عليها، وقد أكد فريق الاستجابة لحوادث أمن المنتجات في سيسكو الهجمات في البرية.

تركز العملية بشكل أساسي على نماذج سيسكو الأقدم، بما في ذلك سلسلة 9400 و9300، ومفاتيح 3750G الوراثية التي تعمل بتوزيعات لينكس قديمة بدون أدوات كشف واستجابة في نقاط النهاية. جمع المهاجمون استغلال SNMP مع نسخة معدلة من ثغرة Telnet CVE-2017-3881 لتمكين الوصول التعسفي لقراءة وكتابة الذاكرة. بمجرد الدخول، ينشرون روتكيتات بدون ملفات ترتبط بدايمون IOSd على نواة لينكس، مثبتين كلمة مرور عالمية تحتوي على كلمة 'disco'—تعديل حرف واحد من 'Cisco'. تخلق هذه الروتكيتات مستمع UDP على أي منفذ للأوامر عن بعد، تخفي عناصر التكوين مثل أسماء الحسابات وسيناريوهات EEM وACLs من التكوين الجاري، تتجاوز ACLs VTY، تقلب أو تحذف السجلات، وتصفر الطوابع الزمنية لإخفاء التغييرات. تعمل المكونات في الذاكرة وتختفي بعد إعادة التشغيل، مما يساعد على الاستمرارية والتهرب.

للانتقال جانبيًا، يستهدف المهاجمون مفاتيح النواة في الشبكات المقسمة المحمية بجدران الحماية. يسيئون استخدام مجتمعات SNMP العامة الافتراضية للوصول الأولي، يضيفون قواعد توجيه للوصول إلى VLANs أخرى، ويستخدمون انتحال ARP وتقليد IP لتجاوز جدران الحماية الداخلية من خلال تعطيل السجلات، تعيين IPs محطات وسيطة إلى المنافذ، وإجبار الجهاز الحقيقي على الخروج عن الخط. تستفيد نماذج المفاتيح الأحدث من تهيئة عشوائية لمساحة العناوين، مما يقلل من نجاح الاقتحام، على الرغم من أن المحاولات المتكررة يمكن أن تتغلب عليها. أصدرت سيسكو تصحيحات، لكن الهجمات سبقت إصدارها. استعادت تريند مايكرو استغلالات لمنصات 32 و64 بت، ونشرت مؤشرات الالتزام. للالتزامات المشتبه بها، يوصي الخبراء بالاتصال بـ Cisco TAC لتحليل البرمجيات الثابتة وتطبيق قواعد الكشف من تريند مايكرو.