Cyberhotaktörer i Operation Zero Disco har utnyttjat en sårbarhet i Ciscos SNMP-tjänst för att installera ihållande Linux-rootkits på nätverksenheter. Kampanjen riktar sig mot äldre Cisco-switchar och använder skapade paket för att uppnå fjärrkodexekvering. Trend Micro-forskare avslöjade attackerna den 16 oktober 2025 och belyste risker för opatchade system.
Trend Micro-forskare har avslöjat Operation Zero Disco, en cyberkampanj som utnyttjar CVE-2025-20352, en stackspillnings-sårbarhet i SNMP-delssystemet i Cisco IOS och IOS XE-programvara. Betygsatt med CVSS 7.7 tillåter bristen fjärrautentiserade angripare att utlösa nekande-tjänst-tillstånd med låga privilegier eller uppnå root-kodexekvering med höga privilegier genom att skicka skapade SNMP-paket över IPv4- eller IPv6-nätverk. Sårbarheten påverkar alla enheter med SNMP aktiverat, och Ciscos Product Security Incident Response Team bekräftade attacker i det vilda.
Operationen riktar sig främst mot äldre Cisco-modeller, inklusive 9400-, 9300-serien och äldre 3750G-switchar som kör föråldrade Linux-distributioner utan endpointdetektering och svarverktyg. Angripare kombinerade SNMP-utnyttjandet med en modifierad version av Telnet-sårbarheten CVE-2017-3881 för att möjliggöra godtycklig minnesläsning och skrivning. När de är inne deployar de filfria rootkits som hakar i IOSd-daemonen på Linux-kärnan och installerar ett universellt lösenord som innehåller ordet 'disco'—en endbokstavsändring från 'Cisco.' Dessa rootkits skapar en UDP-lyssnare på valfri port för fjärrkommandon, döljer konfigurationsobjekt som kontonamn, EEM-skript och ACL:er från den körande konfigurationen, kringgår VTY ACL:er, växlar eller raderar loggar och återställer tidsstämplar för att dölja ändringar. Komponenterna arbetar i minnet och försvinner efter omstart, vilket underlättar ihållighet och undvikande.
För att röra sig lateralt riktar sig angripare mot kärnswitchar i segmenterade nätverk skyddade av brandväggar. De missbrukar standardöffentliga SNMP-communities för initial åtkomst, lägger till ruttregler för att nå andra VLAN:er och använder ARP-spoofing och IP-impersonering för att kringgå interna brandväggar genom att inaktivera loggar, tilldela mellanstation-IP:er till portar och tvinga den verkliga enheten offline. Nyare switchmodeller gynnas av Address Space Layout Randomization, vilket minskar intrångsframgång, även om upprepade försök kan övervinna det. Cisco har utfärdat patchar, men attackerna föregick deras utgivning. Trend Micro återhämtade exploits för 32- och 64-bitarsplattformar och publicerade indikatorer på kompromiss. För misstänkta kompromisser rekommenderar experter att kontakta Cisco TAC för firmwareanalys och tillämpa detektionsregler från Trend Micro.