Operation Zero Disco: Agentes de ameaças visam falha Cisco SNMP para descartar rootkits Linux – Assuntos de Segurança

Um ataque cibernético à Collins Aerospace interrompeu as operações nos principais aeroportos europeus

Operation Zero Disco: Agentes de ameaças visam falha Cisco SNMP para descartar rootkits Linux

Hackers exploram a falha Cisco SNMP CVE-2025-20352 em ataques “Zero Disco” para implantar rootkits Linux em sistemas desatualizados, relatam pesquisadores.

Os pesquisadores da Trend Micro divulgaram detalhes de uma nova campanha, rastreada como Operation Zero Disco, que explorou uma falha de segurança recentemente divulgada que afeta o Cisco IOS Software e o IOS XE Software para implantar rootkits Linux em sistemas mais antigos e desprotegidos.

A vulnerabilidade, rastreada comoCVE-2025-20352(pontuação CVSS: 7,7), afeta o Cisco IOS e o software IOS XE. A vulnerabilidade de alta gravidade reside no subsistema SNMP (Simple Network Management Protocol) do Cisco IOS Software e do IOS XE Software.

A falha permite que invasores autenticados remotos acionem uma condição DoS com privilégios baixos ou obtenham a execução de código raiz com privilégios altos. Um invasor pode explorar a falha enviando um pacote SNMP criado para um dispositivo vulnerável por meio de redes IPv4 ou IPv6. A causa raiz dessa vulnerabilidade é uma condição de estouro de pilha no subsistema SNMP do software afetado. A vulnerabilidade afeta todos os dispositivos com SNMP ativado.

A Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da empresa está ciente de ataques que exploram essa vulnerabilidade.

A Operação Zero Disco visava principalmente dispositivos Cisco 9400, 9300 e 3750G legados, também tentando explorar uma falha Telnet modificada (de CVE-2017-3881) para acesso à memória. A campanha se concentrou em sistemas Linux mais antigos sem proteção EDR, implantando rootkits para ocultar atividades maliciosas e evitar a detecção.

“A investigação da Trend revelou que, uma vez que um dispositivo Cisco tem um rootkit implantado, o malware define uma senha universal que inclui a palavra “disco”, que a Trend Research acredita ser uma mudança de uma letra da Cisco. O malware então instala vários ganchos no IOSd, o que resulta no desaparecimento de componentes sem arquivo após uma reinicialização.” lê o relatório publicado pela Trend Micro. “Os modelos de switch mais recentes fornecem alguma proteção por meio da Address Space Layout Randomization (ASLR), que reduz a taxa de sucesso das tentativas de intrusão; no entanto, deve-se notar que tentativas repetidas ainda podem ter sucesso.

A investigação da Trend Micro recuperou vários exploits usados na campanha contra dispositivos Cisco (32 e 64 bits). Os agentes de ameaças abusaram de exploits SNMP para instalar rootkits (backdoors sem arquivo em compilações de 64 bits) e usaram um exploit Telnet para permitir leitura/gravação arbitrária de memória. Os invasores usaram um controlador UDP e uma ferramenta de falsificação de ARP para executar os implantes. Eles podem excluir logs, ocultar alterações, ignorar controles de acesso, habilitar uma senha de backdoor, mantendo os invasores ocultos e persistentes.

Os invasores têm como alvo switches centrais em uma rede segmentada protegida por firewalls externos e internos. Eles exploram o SNMP público padrão em switches para obter acesso privilegiado. Com o acesso ao switch, eles adicionam regras de roteamento para alcançar outras VLANs. Em seguida, eles representam um IP de waystation para contornar o firewall interno. Para fazer isso, os invasores desativam o registro do switch, atribuem o IP da estação de referência a uma porta central e executam uma ferramenta de falsificação de ARP a partir do shell da Cisco. A estação de passagem real fica offline devido ao conflito de IP. Uma vez dentro da zona protegida, eles restauram as configurações do switch e reativam os logs para ocultar sua atividade. Incidentes reais geralmente seguem o mesmo padrão, mas com maior complexidade.

Ao instalar o rootkit, os invasores obtêm controle remoto e vinculam duas VLANs para se moverem lateralmente. Ele abre um ouvinte UDP em qualquer porta/IP (a porta não precisa estar aberta) para receber comandos. O rootkit injeta uma senha universal volátil na memória IOSd que funciona em todos os métodos de autenticação até a reinicialização. Ele pode ocultar contas, scripts EEM e ACLs da configuração em execução, ignorar ACLs VTY, desabilitar ou apagar logs e redefinir o último carimbo de data/hora de gravação de configuração para cobrir alterações.

A Trend Micro publicou Indicadores de Comprometimento (IoCs)aqui.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,Zero Disco)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.