Cybersecurityföretaget Trend Micro har avslöjat Operation Zero Disco, en kampanj som utnyttjar en kritisk Cisco SNMP-brist för att installera rootkits på nätverksenheter. Attacken riktar sig mot äldre switchar och möjliggör ihållig åtkomst och undvikande av detektering. Fram till oktober 2025 har den komprometterat företagsnätverk som förlitar sig på äldre infrastruktur.
Trend Micro-forskare upptäckte Operation Zero Disco, en attackkampanj som aktivt utnyttjar CVE-2025-20352, en buffertöverskridnings-sårbarhet i Ciscos implementering av Simple Network Management Protocol (SNMP) på IOS XE Software. Denna brist påverkar både 32-bitars- och 64-bitars-switchbyggen och tillåter fjärrkodexekvering (RCE) via manipulerade SNMP Get-Request-paket, särskilt när enheter använder standard 'public' community-strängar.
Kampanjen riktar sig primärt mot äldre Cisco-modeller, inklusive den utfasade 3750G-serien, samt aktiva 9400- och 9300-linor. Cisco bekräftade effekterna och noterade att äldre enheter saknar moderna skyddsåtgärder som Address Space Layout Randomization (ASLR), även om nyare modeller fortfarande kan brytas igenom med upprepade försök. När den utnyttjas distribuerar angripare ett sofistikerat Linux-rootkit som etablerar filfri persistens genom modifieringar av IOSd-minnesutrymmet, vilket säkerställer att aktiviteten överlever omstarter.
Rootkitet introducerar ett universellt lösenord som innehåller 'disco'—en nick till Cisco—och hakar i lågnivåautentiseringsfunktioner för att kringgå AAA, lokala inloggningar och aktiveringslösenord. En UDP-baserad kontrollkomponent, som arbetar på valfri port, tillåter angripare att växla loggning, radera poster, kringgå åtkomstkontrollslistor och dölja konfigurationsändringar genom att återställa tidsstämplar. Dolda element inkluderar kontonamn som 'dg3y8dpk' till 'dg7y8hpk', Embedded Event Manager (EEM)-skript 'CiscoEMX-1' till 'CiscoEMX-5' och ACL:er som 'EnaQWklg0' till 'EnaQWklg2'.
Angripare kedjar exploatet med en modifierad version av CVE-2017-3881, en tidigare Telnet-sårbarhet som återanvänds för godtyckliga minnesläs- och skrivoperationer. Detta möjliggör avancerad infiltration: manipulation av VLAN-routning för att broa segment, IP-spoofing av betrodda värdar för att undvika brandväggar och ARP-spoofing via gästskal-binärer för att kapra trafik och störa enheter. På 32-bitars-mål smugglar fragmenterade SNMP-paket kommandon som '$(ps -a'; på 64-bitars höjer förhöjda privilegier gästskal för post-exploatering.
Operationen belyser riskerna med opatchade, äldre nätverksutrustning utan endpoint-detektion. Inget automatiserat detektionsverktyg finns, vilket kräver manuella undersökningar av Cisco Technical Assistance Center (TAC). Trend Micro rekommenderar att patcha CVE-2025-20352, begränsa SNMP till autentiserade communities och använda verktyg som Cloud One Network Security med regel 46396 för SNMP-exploits och 5497/5488 för UDP-trafik.