Een nieuwe aanvalscampagne, door Trend Micro aangeduid als Operation Zero Disco, maakt gebruik van een kwetsbaarheid in Cisco’s Simple Network Management Protocol (SNMP) om rootkits te installeren op netwerkapparatuur. De kwetsbaarheid, geregistreerd als CVE-2025-20352, werd begin oktober door Cisco als een actief uitgebuite zero-day bevestigd.
De fout treft Cisco IOS en IOS XE en maakt op afstand code-uitvoering mogelijk wanneer een aanvaller over rootrechten beschikt. Volgens Cisco’s Product Security Incident Response Team (PSIRT) was het bedrijf al op de hoogte van succesvolle exploitatie voordat een patch werd uitgebracht. Vooral oudere, onbeschermde switches uit de 9400-, 9300- en 3750G-series blijken kwetsbaar.
Trend Micro beschrijft hoe aanvallers de kwetsbaarheid benutten om een Linux-rootkit in het IOSd-proces van de switch te verankeren. De malware voegt een universeel wachtwoord toe waarin het woord disco voorkomt, een verwijzing naar de fabrikant, en biedt blijvende toegang tot het systeem. Na installatie plaatst de rootkit verschillende hooks in het geheugen van IOSd, waarmee logboeken kunnen worden gemanipuleerd, configuraties worden verborgen en authenticatiecontroles worden omzeild.
Het onderzoeksteam wist zowel 32-bit- als 64-bit-versies van de exploit te herstellen. De variant voor 64-bit-apparaten vereist toegang tot de guest shell met beheerdersprivileges (niveau 15), maar levert vervolgens volledige controle over het systeem op. In beide gevallen wordt de aanval uitgevoerd via het SNMP-proces. De exploit laat zich ook combineren met een tweede kwetsbaarheid, CVE-2017-3881, een ouder lek in de Cluster Management Protocol-code dat in deze campagne wordt aangepast om geheugen te kunnen lezen en schrijven.
Verborgen UDP-controller
Na succesvolle exploitatie installeert de rootkit een verborgen UDP-controller. Die kan op elke poort luisteren, ongeacht of die openstaat. Via dit kanaal kunnen aanvallers loggeschiedenis wissen en AAA- en VTY-toegangsregels omzeilen. Ook kunnen ze delen van de configuratie verbergen en tijdstempels aanpassen om sporen uit te wissen. Trend Micro toont een simulatie hoe een aanvaller met deze controle ARP-spoofing kan uitvoeren, een beheerstation kan imiteren en vervolgens interne firewallregels kan omzeilen om lateraal tussen VLAN-segmenten te bewegen.
Hoewel nieuwere Cisco-switches dankzij Address Space Layout Randomization (ASLR) beter bestand zijn tegen dit soort aanvallen, sluit die techniek succesvolle exploitatie niet uit. Bij herhaaldelijke pogingen kan een aanvaller nog steeds de benodigde geheugenadressen achterhalen.
Cisco werkte mee aan het onderzoek door forensische data en impactanalyses te leveren. Er bestaat op dit moment echter geen betrouwbaar geautomatiseerd hulpmiddel om vast te stellen of een apparaat daadwerkelijk is geïnfecteerd.
Het beveiligingsbedrijf raadt daarnaast aan om SNMP-communitystrings als public te wijzigen. En tevens om Telnet-toegang uit te schakelen en intrusion prevention-systemen in te zetten. Trend Micro-producten zoals Vision One en Cloud One Network Security zouden het verkeer en de commando’s van de UDP-controller kunnen herkennen.