Дослідники Trend Micro задокументували прицільну кампанію Operation ZeroDisco, у межах якої атакувальники експлуатують нещодавно закриту, але активно задіяну уразливість CVE-2025-20352 у Cisco IOS та IOS XE. Під ударом насамперед застарілі або не оновлені платформи серій Cisco 9400, 9300 та 3750G, де супротивник розгортає прихований руткіт і забезпечує довготривалу присутність у мережі.
CVE-2025-20352 у Cisco IOS/IOS XE: суть проблеми та вплив
Уразливість оцінена у 7,7 за CVSS і виправлена Cisco наприкінці вересня 2025 року. За даними вендора, вразливими були всі підтримувані гілки IOS та IOS XE. Корінь проблеми — переповнення стеку у компоненті обробки SNMP (Simple Network Management Protocol). Достатньо надіслати спеціально сформовані SNMP-пакети (IPv4/IPv6), щоб спричинити відмову в обслуговуванні (DoS) або, за умов підвищених прав, отримати віддалене виконання коду (RCE) з рівнем root.
На практиці наявність read-only community string (або валідних облікових даних SNMPv3) суттєво полегшує ініціювання DoS, а подальше підвищення привілеїв відкриває шлях до RCE. Cisco підтверджувала активну експлуатацію уразливості в реальних атаках.
Відкритий SNMP як множник ризику
Робити SNMP-агенти доступними напряму з інтернету — погана практика. Показовий масштаб експозиції: наприкінці вересня Shodan індексував понад 2 млн пристроїв зі відкритим SNMP по всьому світу, що значно підвищує вірогідність масових спроб експлуатації.
Operation ZeroDisco: тактика, техніки та процедури
За спостереженнями Trend Micro, супротивник орієнтується на середовища без розгортання сучасних засобів виявлення (EDR) і впроваджує Linux-руткіти для приховування активності. У ряді інцидентів використовується «універсальний пароль», у складі якого присутнє слово “disco”, що й дало назву кампанії.
Вхідні точки не обмежуються CVE-2025-20352: фіксується також модифікований експлойт до історичної проблеми CVE-2017-3881 (RCE через Telnet з доступом до пам’яті). На 32-бітних системах зловмисники комбінують шкідливі SNMP-пакети з Telnet-експлойтом для читання/запису пам’яті. На 64-бітних пристроях SNMP-ланцюжок слугує для початкового завантаження руткіту, далі застосовується «універсальний пароль» і розгортається безфайловий бекдор; для латерального переміщення використовуються різні VLAN.
Як працює руткіт на IOS/IOS XE
Зловмисний модуль перехоплює UDP-пакети, надіслані на будь-який порт (включно з закритими), використовуючи їх як прихований канал командування. Він модифікує пам’ять IOSd, встановлюючи «універсальний пароль», сумісний із більшістю механізмів автентифікації, і вмонтовує хуки в IOSd, через що безфайлові компоненти зникають після перезавантаження, ускладнюючи форензичний аналіз.
Додатково руткіт приховує елементи running-config у пам’яті, дозволяє обійти ACL для VTY, може відключати логування та скидати часові мітки конфігурації, маскуючи внесені зміни.
Ризики для інфраструктури і практичні кроки захисту
Наразі універсального автоматизованого індикатора компрометації у межах Operation ZeroDisco не існує. За підозри на злам Trend Micro радить негайно звертатися до Cisco TAC для низькорівневого аналізу прошивки, ROM і завантажувальних областей.
- Оновити всі уражені версії IOS/IOS XE патчами Cisco від кінця вересня 2025 року.
- Обмежити або відключити SNMP з інтернету: застосувати ACL/Firewall, використовувати SNMPv3, винести доступ у виділені VLAN/VRF.
- Повністю вимкнути Telnet і перейти на SSH з MFA та жорсткими списками доступу.
- Моніторити зміни running-config, розбіжності часових міток та аномальні UDP-пакети на довільні порти.
- Підсилити телеметрію і журнали на мережевому та системному рівнях; впровадити EDR/поведеневий моніторинг для Linux-компонентів IOS XE і керівних хостів.
- Зменшити права адміністраторів, застосовувати унікальні довгі паролі та регулярну ротацію облікових даних SNMP/адмін-доступу.
Operation ZeroDisco наочно демонструє, як поєднання уразливого SNMP, застарілих сервісів на кшталт Telnet і слабкої сегментації керування відкриває шлях до непомітної ескалації й закріплення у мережі. Чим швидше організації закриють CVE-2025-20352 та мінімізують поверхню атаки, тим нижчою буде ймовірність прихованого розгортання руткіту у критичній інфраструктурі. Варто діяти превентивно: оновлення, сегментація, жорсткі ACL, контроль змін і готовність до спільної форенз
