Des acteurs de menaces cybernétiques dans l'opération Zero Disco ont exploité une vulnérabilité dans le service SNMP de Cisco pour installer des rootkits Linux persistants sur des dispositifs réseau. La campagne cible des commutateurs Cisco plus anciens et utilise des paquets conçus pour obtenir une exécution de code à distance. Des chercheurs de Trend Micro ont divulgué les attaques le 16 octobre 2025, soulignant les risques pour les systèmes non corrigés.
Des chercheurs de Trend Micro ont découvert l'opération Zero Disco, une campagne cyber qui exploite CVE-2025-20352, une vulnérabilité de débordement de tampon dans le sous-système SNMP des logiciels Cisco IOS et IOS XE. Notée à 7,7 sur l'échelle CVSS, cette faille permet à des attaquants authentifiés à distance de déclencher des conditions de déni de service avec des privilèges bas ou d'obtenir une exécution de code root avec des privilèges élevés en envoyant des paquets SNMP conçus via des réseaux IPv4 ou IPv6. La vulnérabilité affecte tous les dispositifs avec SNMP activé, et l'équipe de réponse aux incidents de sécurité des produits de Cisco a confirmé des attaques dans la nature.
L'opération cible principalement des modèles Cisco plus anciens, y compris les séries 9400, 9300 et les commutateurs legacy 3750G exécutant des distributions Linux obsolètes sans outils de détection et de réponse aux endpoints. Les attaquants ont combiné l'exploitation SNMP avec une version modifiée de la vulnérabilité Telnet CVE-2017-3881 pour permettre un accès arbitraire en lecture et écriture en mémoire. Une fois à l'intérieur, ils déploient des rootkits sans fichiers qui s'accrochent au démon IOSd sur le noyau Linux, installant un mot de passe universel contenant le mot 'disco'—une altération d'une lettre de 'Cisco.' Ces rootkits créent un écouteur UDP sur n'importe quel port pour des commandes à distance, masquent les éléments de configuration comme les noms de comptes, les scripts EEM et les ACL de la configuration en cours, contournent les ACL VTY, basculent ou suppriment les journaux, et réinitialisent les horodatages pour dissimuler les changements. Les composants fonctionnent en mémoire et disparaissent après un redémarrage, favorisant la persistance et l'évasion.
Pour se déplacer latéralement, les attaquants ciblent les commutateurs centraux dans des réseaux segmentés protégés par des pare-feu. Ils abusent des communautés SNMP publiques par défaut pour un accès initial, ajoutent des règles de routage pour atteindre d'autres VLAN, et utilisent l'usurpation ARP et l'impersonation IP pour contourner les pare-feu internes en désactivant les journaux, en assignant des IP de stations intermédiaires aux ports et en forçant le dispositif réel hors ligne. Les modèles de commutateurs plus récents bénéficient de la randomisation de la mise en page de l'espace d'adressage, réduisant le succès de l'intrusion, bien que des tentatives répétées puissent la surmonter. Cisco a publié des correctifs, mais les attaques ont précédé leur sortie. Trend Micro a récupéré des exploits pour les plateformes 32 et 64 bits et a publié des indicateurs de compromission. Pour les compromissions suspectées, les experts recommandent de contacter le support technique Cisco TAC pour une analyse du firmware et d'appliquer les règles de détection de Trend Micro.
