La société de cybersécurité Trend Micro a révélé l'opération Zero Disco, une campagne exploitant une faille critique SNMP de Cisco pour installer des rootkits sur des appareils réseau. L'attaque cible des commutateurs plus anciens, permettant un accès persistant et l'évasion de la détection. En octobre 2025, elle a compromis des réseaux d'entreprise dépendant d'une infrastructure legacy.
Les chercheurs de Trend Micro ont découvert l'opération Zero Disco, une campagne d'attaques exploitant activement CVE-2025-20352, une vulnérabilité de débordement de tampon dans l'implémentation du Protocole simple de gestion de réseau (SNMP) de Cisco sur le logiciel IOS XE. Cette faille affecte les builds de commutateurs 32 bits et 64 bits, permettant l'exécution de code à distance (RCE) via des paquets SNMP Get-Request forgés, particulièrement lorsque les appareils utilisent des chaînes de communauté par défaut comme 'public'.
La campagne cible principalement des modèles Cisco plus anciens, y compris la série 3750G mise hors service, ainsi que les lignes actives 9400 et 9300. Cisco a confirmé les impacts, notant que les appareils legacy manquent de protections modernes comme la randomisation de la mise en page de l'espace d'adressage (ASLR), bien que les modèles plus récents puissent encore être violés avec des tentatives répétées. Une fois exploitée, les attaquants déploient un rootkit Linux sophistiqué qui établit une persistance sans fichiers par des modifications dans l'espace mémoire IOSd, assurant que l'activité survive aux redémarrages.
Le rootkit introduit un mot de passe universel contenant 'disco'—un clin d'œil à Cisco—interceptant les fonctions d'authentification de bas niveau pour contourner AAA, les connexions locales et les mots de passe d'activation. Un composant contrôleur basé sur UDP, fonctionnant sur n'importe quel port, permet aux attaquants de basculer la journalisation, supprimer les enregistrements, contourner les listes de contrôle d'accès et masquer les changements de configuration en réinitialisant les horodatages. Les éléments cachés incluent des noms de comptes comme 'dg3y8dpk' à 'dg7y8hpk', des scripts Embedded Event Manager (EEM) 'CiscoEMX-1' à 'CiscoEMX-5', et des ACL comme 'EnaQWklg0' à 'EnaQWklg2'.
Les attaquants enchaînent l'exploitation avec une version modifiée de CVE-2017-3881, une vulnérabilité Telnet antérieure réutilisée pour des opérations arbitraires de lecture et d'écriture en mémoire. Cela permet une infiltration avancée : manipulation du routage VLAN pour relier des segments, usurpation d'IP d'hôtes de confiance pour éviter les pare-feu, et usurpation ARP via des binaires de shell invité pour détourner le trafic et perturber les appareils. Sur les cibles 32 bits, des paquets SNMP fragmentés camouflent des commandes comme '$(ps -a'; sur 64 bits, des privilèges élevés activent des shells invités pour l'exploitation postérieure.
L'opération met en lumière les risques des équipements réseau legacy non corrigés sans détection d'extrémité. Aucune outil de détection automatisée n'existe, nécessitant des enquêtes manuelles au Centre d'assistance technique Cisco (TAC). Trend Micro recommande de corriger CVE-2025-20352, de restreindre SNMP aux communautés authentifiées, et d'utiliser des outils comme Cloud One Network Security avec les règles 46396 pour les exploits SNMP et 5497/5488 pour le trafic UDP.