サイバーセキュリティ企業トレンドマイクロは、Operation Zero Discoを明らかにしました。これは、Ciscoの重要なSNMPの欠陥を悪用してネットワークデバイスにルートキットをインストールするキャンペーンです。この攻撃は古いスイッチを標的にし、持続的なアクセスと検知回避を可能にします。2025年10月現在、レガシーインフラに依存する企業ネットワークが侵害されています。
トレンドマイクロの研究者は、Operation Zero Discoを発見しました。これは、CVE-2025-20352を積極的に悪用する攻撃キャンペーンで、CiscoのIOS XEソフトウェアにおけるSimple Network Management Protocol (SNMP)実装のバッファオーバーフロー脆弱性です。この欠陥は32ビットおよび64ビットのスイッチビルドに影響し、細工されたSNMP Get-Requestパケットを介してリモートコード実行 (RCE) を可能にし、特にデバイスがデフォルトの'public'コミュニティ文字列を使用している場合に顕著です。
このキャンペーンは、主に古いCiscoモデルを標的にしており、廃止された3750Gシリーズや現役の9400および9300ラインを含みます。Ciscoは影響を確認し、レガシーデバイスがアドレス空間レイアウトランダム化 (ASLR) などの現代的な保護を欠いていることを指摘しましたが、新しいモデルも繰り返しの試みで侵害可能です。悪用されると、攻撃者は洗練されたLinuxルートキットを展開し、IOSdメモリ空間の変更を通じてファイルレスな永続性を確立し、再起動後も活動が存続します。
ルートキットは'disco'を含むユニバーサルパスワードを導入—Ciscoへの言及—低レベル認証関数をフックしてAAA、ローカルログイン、enableパスワードをバイパスします。任意のポートで動作するUDPベースのコントローラコンポーネントにより、攻撃者はログを切り替え、レコードを削除、アクセス制御リストをバイパスし、タイムスタンプをリセットして設定変更を隠蔽できます。隠蔽要素には、'dg3y8dpk'から'dg7y8hpk'までのアカウント名、Embedded Event Manager (EEM) スクリプト' CiscoEMX-1'から' CiscoEMX-5'、ACL 'EnaQWklg0'から'EnaQWklg2'が含まれます。
攻撃者は、以前のTelnet脆弱性CVE-2017-3881の修正版をチェーンし、任意のメモリ読み書き操作に再利用します。これにより高度な侵入が可能:VLANルーティングの操作でセグメントをブリッジ、信頼ホストのIPスプーフィングでファイアウォールを回避、ゲストシェルバイナリ経由のARPスプーフィングでトラフィックを乗っ取りデバイスを混乱させます。32ビットターゲットでは、断片化されたSNMPパケットが'$(ps -a'のようなコマンドを密輸;64ビットでは、高位権限がゲストシェルを活性化し、ポストエクスプロイトを実行します。
この作戦は、パッチ未適用レガシー機器のエンドポイント検知なしのリスクを強調します。自動検知ツールは存在せず、手動のCisco Technical Assistance Center (TAC) 調査が必要です。トレンドマイクロはCVE-2025-20352のパッチ適用、SNMPの認証コミュニティ制限、ルール46396(SNMPエクスプロイト用)と5497/5488(UDPトラフィック用)のCloud One Network Securityなどのツール使用を推奨します。