A empresa de cibersegurança Trend Micro revelou a Operação Zero Disco, uma campanha que explora uma falha crítica no SNMP da Cisco para instalar rootkits em dispositivos de rede. O ataque visa switches mais antigos, permitindo acesso persistente e evasão de detecção. Até outubro de 2025, comprometeu redes empresariais dependentes de infraestrutura legada.
Pesquisadores da Trend Micro descobriram a Operação Zero Disco, uma campanha de ataques que explora ativamente a CVE-2025-20352, uma vulnerabilidade de overflow de buffer na implementação do Protocolo Simples de Gerenciamento de Rede (SNMP) da Cisco no Software IOS XE. Essa falha afeta builds de switches de 32 e 64 bits, permitindo execução remota de código (RCE) por meio de pacotes SNMP Get-Request manipulados, especialmente quando os dispositivos usam strings de comunidade padrão 'public'.
A campanha visa principalmente modelos mais antigos da Cisco, incluindo a série 3750G descontinuada, bem como as linhas ativas 9400 e 9300. A Cisco confirmou os impactos, notando que dispositivos legados carecem de proteções modernas como Randomização do Layout do Espaço de Endereço (ASLR), embora modelos mais novos ainda possam ser violados com tentativas repetidas. Uma vez explorada, os atacantes implantam um rootkit Linux sofisticado que estabelece persistência sem arquivos por meio de modificações no espaço de memória IOSd, garantindo que a atividade sobreviva a reinicializações.
O rootkit introduz uma senha universal contendo 'disco'—uma referência à Cisco—interceptando funções de autenticação de baixo nível para contornar AAA, logins locais e senhas de habilitação. Um componente controlador baseado em UDP, operando em qualquer porta, permite que os atacantes alternem o registro, excluam registros, contornem listas de controle de acesso e ocultem alterações de configuração resetando carimbos de data/hora. Elementos ocultos incluem nomes de contas como 'dg3y8dpk' até 'dg7y8hpk', scripts Embedded Event Manager (EEM) 'CiscoEMX-1' a 'CiscoEMX-5' e ACLs como 'EnaQWklg0' a 'EnaQWklg2'.
Os atacantes encadeiam a exploração com uma versão modificada da CVE-2017-3881, uma vulnerabilidade anterior de Telnet reutilizada para operações arbitrárias de leitura e escrita na memória. Isso permite infiltração avançada: manipulação de roteamento VLAN para pontear segmentos, falsificação de IP de hosts confiáveis para evadir firewalls e falsificação ARP via binários de shell convidado para sequestrar tráfego e perturbar dispositivos. Em alvos de 32 bits, pacotes SNMP fragmentados contrabandeiam comandos como '$(ps -a'; em 64 bits, privilégios elevados ativam shells convidados para pós-exploração.
A operação destaca riscos em equipamentos de rede legados não corrigidos sem detecção de endpoint. Não existe ferramenta de detecção automatizada, exigindo investigações manuais no Centro de Assistência Técnica da Cisco (TAC). A Trend Micro recomenda corrigir a CVE-2025-20352, restringir o SNMP a comunidades autenticadas e usar ferramentas como Cloud One Network Security com regras 46396 para explorações SNMP e 5497/5488 para tráfego UDP.