Investigadores de Trend Micro han documentado Operation ZeroDisco, una campaña dirigida que explota la vulnerabilidad CVE-2025-20352 recientemente corregida en Cisco IOS e IOS XE. Los atacantes se centran en equipos desactualizados —incluidas las series Cisco 9400, 9300 y 3750G— para desplegar un rootkit sigiloso y mantener persistencia de largo plazo en la infraestructura.
CVE-2025-20352 en Cisco IOS/IOS XE: alcance, vector SNMP y severidad
Con una puntuación de 7,7 CVSS, la falla fue parcheada por Cisco a finales de septiembre de 2025 y afecta a todas las versiones soportadas de IOS e IOS XE. El problema reside en un desbordamiento de pila dentro del componente de SNMP (Simple Network Management Protocol). El envío de paquetes SNMP especialmente preparados, tanto por IPv4 como por IPv6, posibilita ataques DoS con privilegios bajos y ejecución remota de código (RCE) con privilegios de root cuando se logran mayores privilegios.
En la práctica, disponer de una read-only community string (o credenciales válidas de SNMPv3) facilita provocar denegación de servicio y, con escaladas adicionales, ejecutar código arbitrario. Cisco ha confirmado intentos de explotación activa en escenarios reales.
Exposición de SNMP: una puerta abierta al abuso
Publicar agentes SNMP a Internet es una mala práctica ampliamente señalada. A finales de septiembre, el buscador Shodan identificaba más de 2 millones de dispositivos con SNMP accesible, un volumen que multiplica la superficie para intentos de explotación a gran escala.
Operation ZeroDisco: tácticas, técnicas y procedimientos observados
Según Trend Micro, los operadores de la campaña priorizan entornos sin capacidades modernas de detección (EDR) y emplean rootkits para Linux para ocultar su actividad. En varios incidentes se observó el uso de una contraseña universal que incluye el término “disco”, origen del nombre de la operación.
El acceso inicial combina CVE-2025-20352 con un exploit modificado de la antigua CVE-2017-3881 (RCE por Telnet con lectura/escritura de memoria). En sistemas de 32 bits, los atacantes envían paquetes SNMP maliciosos y se apoyan en el exploit de Telnet para manipular memoria. En entornos de 64 bits, el exploit de SNMP sirve para cargar el rootkit, aplicar una contraseña universal y desplegar un backdoor sin archivos; el movimiento lateral se realiza a través de distintos VLAN.
Cómo opera el rootkit en IOS/IOS XE
El malware inspecciona paquetes UDP enviados a cualquier puerto del dispositivo —incluso cerrados— para recibir comandos encubiertos. Modifica la memoria de IOSd para instalar la contraseña universal compatible con varios métodos de autenticación e inyecta “hooks” en IOSd, lo que hace que componentes sin archivo desaparezcan tras un reinicio, complicando el análisis.
Además, es capaz de ocultar entradas de la running-config en memoria, eludir ACL de VTY, desactivar registros y restablecer marcas temporales de configuración, dificultando la trazabilidad de cambios.
Riesgo operativo y medidas de mitigación prioritarias
Actualmente no existe un mecanismo universal y automatizado para detectar de forma fiable la intrusión atribuida a Operation ZeroDisco. Ante indicios de compromiso, Trend Micro recomienda contactar de inmediato con Cisco TAC para un análisis de bajo nivel de firmware, ROM y áreas de arranque.
Acciones sugeridas para reducir la exposición:
- Aplicar sin demora los parches de Cisco publicados a finales de septiembre de 2025 para IOS/IOS XE afectados.
- Restringir o deshabilitar SNMP desde Internet: usar ACL o firewall, preferir SNMPv3 y segmentar la gestión en VLAN/VRF dedicadas.
- Desactivar Telnet y utilizar SSH con MFA y listas de control de acceso estrictas.
- Vigilar cambios en la running-config, incoherencias en marcas temporales y tráfico UDP anómalo hacia puertos arbitrarios.
- Reforzar monitorización y registro a nivel de red y dispositivo; incorporar telemetría EDR para componentes Linux de IOS XE y hosts de administración.
- Limitar privilegios administrativos y rotar credenciales con contraseñas únicas y robustas, incluidas las de SNMP.
Operation ZeroDisco evidencia el riesgo de combinar SNMP vulnerable, servicios legados como Telnet y una gestión poco segmentada. Reducir con rapidez la ventana de explotación de CVE-2025-20352 y adoptar una defensa en profundidad —segmentación, ACL estrictas, control de cambios, monitorización y disposición para forense junto al proveedor— es clave para evitar que un rootkit se afiance en infraestructura crítica. Es el momento de auditar la exposición de SNMP, eliminar servicios heredados y cerrar brechas con parches y controles compensatorios.
