Atores de ameaças cibernéticas na Operação Zero Disco exploraram uma vulnerabilidade no serviço SNMP da Cisco para instalar rootkits persistentes do Linux em dispositivos de rede. A campanha visa switches Cisco mais antigos e usa pacotes personalizados para alcançar execução remota de código. Pesquisadores da Trend Micro divulgaram os ataques em 16 de outubro de 2025, destacando riscos para sistemas sem patches.
Pesquisadores da Trend Micro descobriram a Operação Zero Disco, uma campanha cibernética que explora CVE-2025-20352, uma vulnerabilidade de overflow de pilha no subsistema SNMP do software Cisco IOS e IOS XE. Classificada em CVSS 7.7, a falha permite que atacantes autenticados remotamente desencadeiem condições de negação de serviço com privilégios baixos ou alcancem execução de código root com privilégios altos enviando pacotes SNMP personalizados via redes IPv4 ou IPv6. A vulnerabilidade afeta todos os dispositivos com SNMP ativado, e a Equipe de Resposta a Incidentes de Segurança de Produtos da Cisco confirmou ataques na natureza.
A operação visa principalmente modelos Cisco mais antigos, incluindo as séries 9400, 9300 e switches legados 3750G executando distribuições Linux desatualizadas sem ferramentas de detecção e resposta em endpoints. Os atacantes combinaram a exploração SNMP com uma versão modificada da vulnerabilidade Telnet CVE-2017-3881 para permitir acesso arbitrário de leitura e escrita na memória. Uma vez dentro, eles implantam rootkits sem arquivos que se conectam ao daemon IOSd no kernel Linux, instalando uma senha universal contendo a palavra 'disco'—uma alteração de uma letra de 'Cisco.' Esses rootkits criam um ouvinte UDP em qualquer porta para comandos remotos, ocultam itens de configuração como nomes de contas, scripts EEM e ACLs da configuração em execução, contornam ACLs VTY, alternam ou excluem logs e redefinem carimbos de data/hora para ocultar mudanças. Os componentes operam na memória e desaparecem após o reinício, auxiliando na persistência e evasão.
Para se mover lateralmente, os atacantes visam switches centrais em redes segmentadas protegidas por firewalls. Eles abusam de comunidades SNMP públicas padrão para acesso inicial, adicionam regras de roteamento para alcançar outras VLANs e usam spoofing ARP e impersonação IP para contornar firewalls internos desativando logs, atribuindo IPs de estações intermediárias a portas e forçando o dispositivo real offline. Modelos de switches mais novos se beneficiam da Randomização do Layout do Espaço de Endereços, reduzindo o sucesso da intrusão, embora tentativas repetidas possam superá-la. A Cisco emitiu patches, mas os ataques precederam sua liberação. A Trend Micro recuperou exploits para plataformas de 32 e 64 bits e publicou indicadores de comprometimento. Para comprometimentos suspeitos, os especialistas recomendam contatar o Cisco TAC para análise de firmware e aplicar regras de detecção da Trend Micro.