オペレーション・ゼロ・ディスコのサイバー脅威アクターが、CiscoのSNMPサービスにおける脆弱性を悪用して、ネットワークデバイスに永続的なLinuxルートキットをインストールしました。このキャンペーンは古いCiscoスイッチを標的にし、作成されたパケットを使用してリモートコード実行を達成します。Trend Microの研究者は2025年10月16日に攻撃を公開し、パッチ未適用システムのリスクを強調しました。
Trend Microの研究者は、オペレーション・ゼロ・ディスコを発見しました。これは、Cisco IOSおよびIOS XEソフトウェアのSNMPサブシステムにおけるスタックオーバーフローの脆弱性CVE-2025-20352を悪用するサイバーキャンペーンです。CVSS 7.7と評価されたこの欠陥は、低い特権でリモート認証攻撃者がサービス拒否状態を引き起こすことを可能にし、高い特権でルートコード実行を達成するために、IPv4またはIPv6ネットワーク上で作成されたSNMPパケットを送信します。この脆弱性はSNMPが有効化されたすべてのデバイスに影響し、Ciscoの製品セキュリティインシデント対応チームは野生での攻撃を確認しました。
このオペレーションは、主に古いCiscoモデル、9400、9300シリーズ、およびエンドポイント検出および対応ツールのない古いLinuxディストリビューションを実行するレガシー3750Gスイッチを標的にしています。攻撃者はSNMPのエクスプロイトをTelnet脆弱性CVE-2017-3881の修正版と組み合わせ、任意のメモリ読み取りおよび書き込みアクセスを可能にしました。一度内部に入ると、ファイルレスルートキットを展開し、Linuxカーネル上のIOSdデーモンにフックをかけ、「disco」という単語を含むユニバーサルパスワードをインストールします。これは「Cisco」からの一文字の変更です。これらのルートキットは、リモートコマンド用の任意のポートにUDPリスナーを作成し、実行中のコンフィグからアカウント名、EEMスクリプト、ACLなどのコンフィグ項目を隠蔽し、VTY ACLを回避し、ログを切り替えまたは削除し、変更を隠すためにタイムスタンプをリセットします。コンポーネントはメモリ上で動作し、再起動後に消滅し、永続性と回避を支援します。
横方向移動のために、攻撃者はファイアウォールで保護されたセグメント化ネットワーク内のコアスイッチを標的にします。彼らは初期アクセスにデフォルトの公開SNMPコミュニティを悪用し、他のVLANに到達するためのルーティングルールを追加し、ARPスプーフィングとIP偽装を使用して内部ファイアウォールを回避し、ログを無効化し、ポートにウェイステーションIPを割り当て、本物のデバイスをオフラインにします。新しいスイッチモデルはアドレススペースレイアウトランダマイゼーションの恩恵を受け、侵入の成功を低減しますが、繰り返しの試みで克服可能です。Ciscoはパッチを発行しましたが、攻撃はリリース前に発生しました。Trend Microは32ビットおよび64ビットプラットフォームのエクスプロイトを回収し、侵害の指標を公開しました。疑わしい侵害の場合、専門家はCisco TACに連絡してファームウェア分析を行い、Trend Microの検出ルールを適用することを推奨します。
