Aktor ancaman siber dalam Operasi Zero Disco telah mengeksploitasi kerentanan di layanan SNMP Cisco untuk memasang rootkit Linux yang persisten pada perangkat jaringan. Kampanye ini menargetkan saklar Cisco yang lebih tua dan menggunakan paket yang dibuat khusus untuk mencapai eksekusi kode jarak jauh. Peneliti Trend Micro mengungkap serangan pada 16 Oktober 2025, menyoroti risiko bagi sistem yang belum ditambal.
Peneliti Trend Micro telah mengungkap Operasi Zero Disco, sebuah kampanye siber yang mengeksploitasi CVE-2025-20352, sebuah kerentanan overflow tumpukan di subsistem SNMP perangkat lunak Cisco IOS dan IOS XE. Dinilai CVSS 7.7, celah ini memungkinkan penyerang autentikasi jarak jauh untuk memicu kondisi penolakan layanan dengan hak istimewa rendah atau mencapai eksekusi kode root dengan hak istimewa tinggi dengan mengirim paket SNMP yang dibuat khusus melalui jaringan IPv4 atau IPv6. Kerentanan ini memengaruhi semua perangkat dengan SNMP yang diaktifkan, dan Tim Respons Insiden Keamanan Produk Cisco mengonfirmasi serangan di alam liar.
Operasi ini terutama menargetkan model Cisco yang lebih tua, termasuk seri 9400, 9300, dan saklar warisan 3750G yang menjalankan distribusi Linux usang tanpa alat deteksi dan respons endpoint. Penyerang menggabungkan eksploitasi SNMP dengan versi modifikasi dari kerentanan Telnet CVE-2017-3881 untuk mengaktifkan akses baca dan tulis memori sewenang-wenang. Setelah masuk, mereka menyebarkan rootkit tanpa file yang terhubung ke daemon IOSd pada kernel Linux, memasang kata sandi universal yang berisi kata 'disco'—perubahan satu huruf dari 'Cisco.' Rootkit ini membuat pendengar UDP pada port apa pun untuk perintah jarak jauh, menyembunyikan item konfigurasi seperti nama akun, skrip EEM, dan ACL dari konfigurasi yang berjalan, melewati ACL VTY, mengaktifkan atau menghapus log, dan mereset cap waktu untuk menyembunyikan perubahan. Komponen beroperasi di memori dan menghilang setelah reboot, membantu persistensi dan penghindaran.
Untuk bergerak secara lateral, penyerang menargetkan saklar inti di jaringan tersegmentasi yang dilindungi oleh firewall. Mereka menyalahgunakan komunitas SNMP publik default untuk akses awal, menambahkan aturan rute untuk mencapai VLAN lain, dan menggunakan spoofing ARP dan impersonasi IP untuk melewati firewall internal dengan menonaktifkan log, menetapkan IP waystation ke port, dan memaksa perangkat asli offline. Model saklar yang lebih baru mendapat manfaat dari Address Space Layout Randomization, mengurangi keberhasilan intrusi, meskipun upaya berulang dapat mengatasinya. Cisco telah menerbitkan patch, tetapi serangan mendahului rilisnya. Trend Micro memulihkan eksploitasi untuk platform 32- dan 64-bit dan menerbitkan indikator kompromi. Untuk kompromi yang dicurigai, ahli merekomendasikan menghubungi Cisco TAC untuk analisis firmware dan menerapkan aturan deteksi dari Trend Micro.