Исследователи Trend Micro сообщают о целевой кампании Operation ZeroDisco, в рамках которой злоумышленники эксплуатируют недавно закрытую, но активно используемую уязвимость CVE-2025-20352 в программных платформах Cisco IOS и IOS XE. Цель атак — устаревшие и не обновленные сетевые устройства, включая линейки Cisco 9400, 9300 и 3750G, где разворачивается скрытный руткит и обеспечивается долговременное присутствие атакующих.
Что известно об уязвимости CVE-2025-20352 в Cisco IOS/IOS XE
Уязвимость получила оценку 7,7 по CVSS и была исправлена Cisco в конце сентября 2025 года. По данным вендора, проблема затрагивает все поддерживаемые версии IOS и IOS XE. Слабое место связано с переполнением стека в компоненте обработки SNMP (Simple Network Management Protocol). Для эксплуатации достаточно отправить специально сформированные SNMP-пакеты по IPv4 или IPv6, что открывает путь к атакам DoS (для низких привилегий) и RCE с правами root (при наличии более высоких привилегий).
Практически это означает, что обладателю read-only community string (или валидных учетных данных SNMPv3) проще инициировать отказ в обслуживании, а при дополнительном повышении привилегий — выполнить произвольный код. Cisco ранее подтверждала активную эксплуатацию уязвимости в реальных атаках.
Экспонированный SNMP — повышенный риск
Делать SNMP-агенты доступными из интернета считается плохой практикой. Наглядный индикатор масштаба проблемы: в конце сентября поисковик Shodan обнаруживал свыше 2 млн устройств с доступным SNMP по всему миру, что существенно повышает шансы на массовые попытки эксплуатации.
Operation ZeroDisco: тактика, техника и процедуры злоумышленников
По данным Trend Micro, атакующие ориентируются на инфраструктуры без современных средств обнаружения (EDR) и внедряют Linux-руткиты для маскировки активности. В ряде случаев используется универсальный пароль, в составе которого присутствует слово “disco” — отсюда и название кампании.
Вектор входа включает не только CVE-2025-20352, но и модифицированный эксплойт к устаревшей проблеме CVE-2017-3881 (Telnet RCE с возможностью чтения/записи памяти). Против 32-битных систем злоумышленники отправляют вредоносные SNMP-пакеты и используют Telnet-эксплойт для доступа к памяти. Против 64-битных — SNMP-эксплойт применяется для начальной загрузки руткита, после чего используется универсальный пароль и разворачивается бесфайловый бэкдор; для бокового перемещения задействуются разные VLAN.
Как работает руткит на IOS/IOS XE
Trend Micro описывает несколько ключевых функций вредоноса. Руткит мониторит UDP-пакеты, отправленные на любой порт устройства (включая закрытые), и таким образом получает скрытые команды для управления бэкдором. Он модифицирует память IOSd для установки универсального пароля, совместимого с большинством методов аутентификации, и устанавливает хуки в IOSd, из-за чего бесфайловые компоненты исчезают после перезагрузки, усложняя анализ.
Дополнительно вредонос скрывает элементы running-config в памяти, позволяет обходить ACL для VTY, может отключать ведение логов и сбрасывать временные метки конфигурации, маскируя следы изменений.
Оценка рисков и практические меры защиты
Универсального автоматизированного средства детектирования компрометации в рамках Operation ZeroDisco на текущий момент нет. Trend Micro рекомендует при подозрениях незамедлительно обратиться в Cisco TAC для низкоуровневого исследования прошивки, ROM и загрузочных областей.
Рекомендуемые действия по снижению риска:
- Немедленно установить патчи Cisco, выпущенные в конце сентября 2025 года, для всех затронутых версий IOS/IOS XE.
- Ограничить или отключить SNMP-доступ с интернета: применить ACL/Firewall, использовать SNMPv3, сегментировать доступ в выделенные управляемые VLAN/VRF.
- Полностью отключить Telnet и использовать SSH с многофакторной аутентификацией и строгими списками контроля доступа.
- Отслеживать изменения running-config, несоответствия временных меток, а также аномальные UDP-пакеты к произвольным портам.
- Усилить мониторинг и логирование на уровне сети и устройств, внедрить EDR/поведенческую телеметрию для Linux-компонентов IOS XE и управляющих хостов.
- Ограничить административные привилегии, применять уникальные, длинные пароли и ротацию учетных данных SNMP/админ-доступа.
Кампания Operation ZeroDisco демонстрирует, насколько опасно сочетание уязвимого SNMP, устаревших сервисов наподобие Telnet и недостаточно сегментированного управления. Организациям следует оперативно закрывать известные уязвимости, минимизировать поверхность атаки и выстраивать «глубинную оборону»: сегментация, жесткие ACL, контроль изменений, мониторинг и готовность к форензике совместно с вендором. Чем быстрее будет сокращено окно эксплуатации CVE-2025-20352, тем ниже вероятность скрытого закрепления руткита в критичной сетевой инфраструктуре.
