Trend Micro beobachtet mit Operation ZeroDisco eine zielgerichtete Kampagne gegen ungepatchte Cisco-Infrastruktur. Die Angreifer missbrauchen die frisch geschlossene, aber aktiv ausgenutzte Schwachstelle CVE-2025-20352 in Cisco IOS/IOS XE, kompromittieren vor allem ältere oder nicht aktualisierte Plattformen (u. a. Cisco 9400, 9300, 3750G) und etablieren ein verstecktes Rootkit für langfristige Präsenz.
CVE-2025-20352: SNMP-Stack-Overflow in Cisco IOS/IOS XE
Die Schwachstelle ist mit CVSS 7,7 bewertet und wurde laut Cisco Ende September 2025 für alle unterstützten IOS/IOS XE-Versionen behoben. Ursache ist ein Stack-Overflow in der SNMP-Verarbeitung. Speziell präparierte SNMP-Pakete über IPv4 oder IPv6 ermöglichen Denial-of-Service-Zustände bei niedrigen Rechten und bei ausreichenden Privilegien Remote Code Execution mit root-Rechten.
Praktisch genügt bereits eine read-only community (oder gültige SNMPv3-Credentials), um DoS auszulösen; mit zusätzlicher Privilegienausweitung wird Codeausführung realistisch. Cisco PSIRT hat aktive Ausnutzung bestätigt. Parallel gilt: SNMP aus dem Internet erreichbar zu machen, ist inhärent riskant.
Exponierte SNMP-Dienste vergrößern die Angriffsfläche
Die Breite der Exponierung ist signifikant: Der Suchdienst Shodan listete Ende September 2025 über zwei Millionen Geräte mit offenem SNMP. Diese Sichtbarkeit begünstigt Massenscans und beschleunigt Exploit-Ketten, sobald Proof-of-Concepts kursieren.
Taktiken, Techniken und Prozeduren (TTPs) der Operation ZeroDisco
Die Akteure priorisieren Umgebungen ohne moderne Erkennung (z. B. EDR) und setzen Linux-Rootkits ein, um Artefakte zu verschleiern. In mehreren Fällen zeigt sich ein universelles Passwort mit dem String „disco“ als Marker der Kampagne.
Neben CVE-2025-20352 wird ein modifizierter Exploit für CVE-2017-3881 (Telnet-RCE inkl. Lese-/Schreibzugriff auf Speicher) beobachtet. Gegen 32‑Bit-Systeme kombinieren die Täter schädliche SNMP-Pakete mit dem Telnet-Exploit zur Speichermanipulation. Auf 64‑Bit-Systemen dient der SNMP-Exploit als Einstieg für das Rootkit; anschließend wird das universelle Passwort gesetzt und ein dateiloses Backdoor aktiviert. Die seitliche Bewegung erfolgt über verschiedene VLANs.
Rootkit-Funktionalität: Tarnung, Hooks und Konfigurationsmanipulation
Das Rootkit überwacht UDP-Pakete an beliebige Ports – auch geschlossene – und nutzt diese als verdeckten Steuerkanal. Es modifiziert den Speicher von IOSd, um ein universelles Passwort zu etablieren, und setzt Hooks, die filelose Komponenten nach Reboot verschwinden lassen. Damit werden Forensik und Reproduzierbarkeit erschwert.
Zusätzlich werden running-config-Elemente im Speicher verborgen, VTY-ACLs umgangen, Logging deaktiviert und Konfigurations-Timestamps zurückgesetzt. Das zielt darauf, operative Änderungen zu kaschieren und detektionsbasierte Playbooks zu unterlaufen.
Risikoanalyse und empfohlene Gegenmaßnahmen
Ein universell einsetzbarer, automatisierter Indikator für die ZeroDisco-Kompromittierung liegt derzeit nicht vor. Bei Verdachtsfällen ist eine tiefgehende Analyse mit Cisco TAC (Firmware, ROM, Boot-Regionen) angeraten. Organisationen sollten die Angriffsfläche konsequent reduzieren und Erkennungslücken schließen.
- Sicherheitsupdates: Sofortige Installation der Cisco-Patches vom Ende September 2025 für alle betroffenen IOS/IOS XE-Versionen.
- SNMP-Härtung: SNMP nicht aus dem Internet erreichbar machen; ACL/Firewall erzwingen, SNMPv3 nutzen, Management in eigene VLAN/VRF segmentieren.
- Telnet abschalten: Nur SSH mit MFA und strikten ACLs zulassen.
- Monitoring: Änderungen an running-config, inkonsistente Timestamps und ungewöhnliche UDP-Pakete an beliebige Ports prüfen; EDR/Verhaltenstelemetrie für IOS XE-Linux-Komponenten und Management-Hosts etablieren.
- Zugriffsmanagement: Adminrechte minimieren, lange eindeutige Passwörter nutzen, Rotation von SNMP-/Admin-Credentials.
Organisationen sollten jetzt patchen, SNMP-Exponierung inventarisieren und Managementpfade strikt segmentieren. Die Kombination aus verwundbarem SNMP, Legacy-Diensten wie Telnet und fehlender Segmentierung eröffnet effiziente Angriffswege. Eine mehrschichtige Verteidigung – harte ACLs, lückenloses Logging, kontinuierliche Integritätskontrolle und Forensik-Bereitschaft mit dem Hersteller – verkleinert das Ausnutzungsfenster für CVE-2025-20352 und senkt das Risiko einer verdeckten Rootkit-Persistenz in kritischer Netzwerkinfrastruktur nachhaltig.
