La firma de ciberseguridad Trend Micro ha revelado la Operación Zero Disco, una campaña que explota una falla crítica en SNMP de Cisco para instalar rootkits en dispositivos de red. El ataque se dirige a switches más antiguos, permitiendo acceso persistente y evasión de detección. A octubre de 2025, ha comprometido redes empresariales que dependen de infraestructura heredada.
Investigadores de Trend Micro descubrieron la Operación Zero Disco, una campaña de ataques que explota activamente CVE-2025-20352, una vulnerabilidad de desbordamiento de búfer en la implementación del Protocolo Simple de Gestión de Red (SNMP) de Cisco en el Software IOS XE. Esta falla afecta tanto a compilaciones de switches de 32 como de 64 bits, permitiendo la ejecución remota de código (RCE) a través de paquetes SNMP Get-Request manipulados, particularmente cuando los dispositivos usan cadenas de comunidad predeterminadas como 'public'.
La campaña se dirige principalmente a modelos antiguos de Cisco, incluyendo la serie 3750G descontinuada, así como las líneas activas 9400 y 9300. Cisco confirmó los impactos, señalando que los dispositivos heredados carecen de protecciones modernas como la Aleatorización del Diseño del Espacio de Direcciones (ASLR), aunque los modelos más nuevos aún pueden ser vulnerados con intentos repetidos. Una vez explotada, los atacantes implementan un rootkit sofisticado de Linux que establece persistencia sin archivos mediante modificaciones en el espacio de memoria IOSd, asegurando que la actividad sobreviva a los reinicios.
El rootkit introduce una contraseña universal que contiene 'disco'—un guiño a Cisco—enganchando funciones de autenticación de bajo nivel para evadir AAA, inicios de sesión locales y contraseñas de habilitación. Un componente controlador basado en UDP, que opera en cualquier puerto, permite a los atacantes alternar el registro, eliminar registros, evadir listas de control de acceso y ocultar cambios de configuración restableciendo marcas de tiempo. Elementos ocultos incluyen nombres de cuentas como 'dg3y8dpk' hasta 'dg7y8hpk', scripts de Embedded Event Manager (EEM) 'CiscoEMX-1' a 'CiscoEMX-5', y ACL como 'EnaQWklg0' a 'EnaQWklg2'.
Los atacantes encadenan la explotación con una versión modificada de CVE-2017-3881, una vulnerabilidad anterior de Telnet reutilizada para operaciones arbitrarias de lectura y escritura en memoria. Esto permite una infiltración avanzada: manipular el enrutamiento VLAN para unir segmentos, suplantación de IP de hosts confiables para evadir firewalls, y suplantación ARP a través de binarios de shell de invitados para secuestrar tráfico y perturbar dispositivos. En objetivos de 32 bits, paquetes SNMP fragmentados contrabandean comandos como '$(ps -a'; en 64 bits, privilegios elevados activan shells de invitados para post-explotación.
La operación resalta los riesgos en equipos de red heredados sin parches y sin detección de endpoints. No existe una herramienta de detección automatizada, requiriendo investigaciones manuales del Centro de Asistencia Técnica de Cisco (TAC). Trend Micro recomienda parchear CVE-2025-20352, restringir SNMP a comunidades autenticadas y usar herramientas como Cloud One Network Security con reglas 46396 para exploits SNMP y 5497/5488 para tráfico UDP.