Actores de amenazas cibernéticas en la Operación Zero Disco han explotado una vulnerabilidad en el servicio SNMP de Cisco para instalar rootkits persistentes de Linux en dispositivos de red. La campaña apunta a interruptores Cisco más antiguos y utiliza paquetes diseñados para lograr ejecución remota de código. Investigadores de Trend Micro divulgaron los ataques el 16 de octubre de 2025, destacando riesgos para sistemas sin parches.
Investigadores de Trend Micro han descubierto la Operación Zero Disco, una campaña cibernética que explota CVE-2025-20352, una vulnerabilidad de desbordamiento de pila en el subsistema SNMP de Cisco IOS y el software IOS XE. Calificada con CVSS 7.7, la falla permite a atacantes autenticados remotos desencadenar condiciones de denegación de servicio con privilegios bajos o lograr ejecución de código de root con privilegios altos enviando paquetes SNMP diseñados a través de redes IPv4 o IPv6. La vulnerabilidad afecta a todos los dispositivos con SNMP habilitado, y el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco confirmó ataques en la naturaleza.
La operación apunta principalmente a modelos Cisco más antiguos, incluyendo las series 9400, 9300 y los interruptores heredados 3750G que ejecutan distribuciones de Linux obsoletas sin herramientas de detección y respuesta en puntos finales. Los atacantes combinaron la explotación SNMP con una versión modificada de la vulnerabilidad Telnet CVE-2017-3881 para habilitar acceso arbitrario de lectura y escritura en memoria. Una vez dentro, despliegan rootkits sin archivos que se engancha al daemon IOSd en el kernel de Linux, instalando una contraseña universal que contiene la palabra 'disco'—una alteración de una letra de 'Cisco'. Estos rootkits crean un oyente UDP en cualquier puerto para comandos remotos, ocultan elementos de configuración como nombres de cuentas, scripts EEM y ACLs de la configuración en ejecución, evaden ACLs VTY, alternan o eliminan registros, y restablecen marcas de tiempo para ocultar cambios. Los componentes operan en memoria y desaparecen después del reinicio, ayudando a la persistencia y evasión.
Para moverse lateralmente, los atacantes apuntan a interruptores centrales en redes segmentadas protegidas por firewalls. Abusan de comunidades SNMP públicas predeterminadas para acceso inicial, agregan reglas de enrutamiento para alcanzar otras VLANs, y utilizan suplantación ARP e impersonación IP para evadir firewalls internos desactivando registros, asignando IPs de estaciones intermedias a puertos y forzando el dispositivo real fuera de línea. Modelos de interruptores más nuevos se benefician de la aleatorización del diseño del espacio de direcciones, reduciendo el éxito de la intrusión, aunque intentos repetidos pueden superarlo. Cisco ha emitido parches, pero los ataques precedieron su lanzamiento. Trend Micro recuperó exploits para plataformas de 32 y 64 bits y publicó indicadores de compromiso. Para compromisos sospechosos, los expertos recomiendan contactar a Cisco TAC para análisis de firmware y aplicar reglas de detección de Trend Micro.