Perusahaan keamanan siber Trend Micro mengungkap Operasi Zero Disco, kampanye yang mengeksploitasi celah kritis SNMP Cisco untuk memasang rootkit pada perangkat jaringan. Serangan ini menargetkan sakelar lama, memungkinkan akses persisten dan penghindaran deteksi. Hingga Oktober 2025, ini telah mengompromikan jaringan perusahaan yang bergantung pada infrastruktur warisan.
Peneliti Trend Micro mengungkap Operasi Zero Disco, kampanye serangan yang secara aktif mengeksploitasi CVE-2025-20352, kerawanan luapan buffer dalam implementasi Protokol Manajemen Jaringan Sederhana (SNMP) Cisco pada Software IOS XE. Kerawanan ini memengaruhi build sakelar 32-bit dan 64-bit, memungkinkan eksekusi kode jarak jauh (RCE) melalui paket SNMP Get-Request yang dibuat khusus, terutama ketika perangkat menggunakan string komunitas default 'public'.
Kampanye ini terutama menargetkan model Cisco yang lebih tua, termasuk seri 3750G yang sudah dihentikan, serta lini 9400 dan 9300 yang masih aktif. Cisco mengonfirmasi dampaknya, mencatat bahwa perangkat warisan kekurangan perlindungan modern seperti Randomisasi Tata Letak Ruang Alamat (ASLR), meskipun model baru masih bisa ditembus dengan upaya berulang. Setelah dieksploitasi, penyerang menyebarkan rootkit Linux canggih yang membangun persistensi tanpa file melalui modifikasi pada ruang memori IOSd, memastikan aktivitas bertahan setelah restart.
Rootkit memperkenalkan kata sandi universal yang berisi 'disco'—sebuah isyarat ke Cisco—menghubungkan fungsi autentikasi tingkat rendah untuk melewati AAA, login lokal, dan kata sandi enable. Komponen pengontrol berbasis UDP, yang beroperasi pada port apa pun, memungkinkan penyerang untuk mengalihkan logging, menghapus catatan, melewati daftar kontrol akses, dan menyembunyikan perubahan konfigurasi dengan mereset cap waktu. Elemen tersembunyi termasuk nama akun seperti 'dg3y8dpk' hingga 'dg7y8hpk', skrip Embedded Event Manager (EEM) 'CiscoEMX-1' hingga 'CiscoEMX-5', dan ACL seperti 'EnaQWklg0' hingga 'EnaQWklg2'.
Penyerang merangkai eksploitasi dengan versi modifikasi CVE-2017-3881, kerawanan Telnet sebelumnya yang digunakan kembali untuk operasi baca dan tulis memori sewenang-wenang. Ini memungkinkan infiltrasi lanjutan: memanipulasi rute VLAN untuk menjembatani segmen, pemalsuan IP host tepercaya untuk menghindari firewall, dan pemalsuan ARP melalui biner shell tamu untuk membajak lalu lintas dan mengganggu perangkat. Pada target 32-bit, paket SNMP terfragmentasi menyembunyikan perintah seperti '$(ps -a'; pada 64-bit, hak istimewa yang ditingkatkan mengaktifkan shell tamu untuk pasca-eksploitasi.
Operasi ini menyoroti risiko pada perangkat jaringan warisan yang tidak ditambal tanpa deteksi endpoint. Tidak ada alat deteksi otomatis, memerlukan investigasi manual Pusat Bantuan Teknis Cisco (TAC). Trend Micro merekomendasikan penambalan CVE-2025-20352, membatasi SNMP ke komunitas terautentikasi, dan menggunakan alat seperti Cloud One Network Security dengan aturan 46396 untuk eksploitasi SNMP dan 5497/5488 untuk lalu lintas UDP.