Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Una sofisticata campagna di attacco denominata “Operazione Zero Disco” è stata rilevata recentemente, dove gli autori della minaccia sfruttano attivamente una vulnerabilità critica del Cisco Simple Network Management Protocol (SNMP) per installare rootkit Linux su dispositivi di rete vulnerabili.
A partire da ottobre 2025, la campagna ha avuto un impatto sulle reti aziendali, evidenziando i rischi persistenti nelle infrastrutture legacy. La falla principale, descritta in dettaglio nell’avviso di sicurezza di Cisco, deriva da un buffer overflow nel framework di autenticazione SNMP sul software Cisco IOS XE.
Trend Micro ha osservato un’operazione che sfrutta CVE-2025-20352 , che consente l’esecuzione di codice remoto (RCE) e garantisce un accesso non autorizzato persistente, prendendo di mira principalmente gli switch Cisco più vecchi, privi di protezioni moderne.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’indagine ha rivelato che gli aggressori hanno collegato questo fenomeno a una vulnerabilità Telnet modificata derivata da CVE-2017-3881, riutilizzata per operazioni di lettura/scrittura della memoria anziché per RCE vera e propria.
Gli aggressori inviano pacchetti SNMP Get-Request contraffatti per far traboccare il buffer, consentendo l’esecuzione di codice arbitrario su architetture di switch sia a 32 bit che a 64 bit.
Una volta sfruttato, il malware distribuisce un rootkit che imposta una password universale contenente il termine “disco”, un sottile riferimento a “Cisco“, garantendo agli aggressori un ampio accesso tramite metodi di autenticazione come AAA e accessi locali. Questo meccanismo di password si aggancia allo spazio di memoria IOSd, garantendo una persistenza senza file che scompare al riavvio, complicando il rilevamento.
Per i target a 32 bit come la serie legacy Cisco 3750G, le compromissioni hanno mostrato pacchetti SNMP frammentati che veicolavano comandi, come “$(ps -a”, limitati da vincoli di byte per pacchetto. Sulle piattaforme a 64 bit, tra cui le serie Cisco 9400 e 9300, gli exploit richiedono privilegi elevati per attivare le shell guest, consentendo ai controller basati su UDP di effettuare operazioni di post-exploitation avanzate.
La campagna si concentra sui sistemi obsoleti basati su Linux, privi di strumenti di rilevamento e risposta degli endpoint (EDR) , utilizzando IP e indirizzi e-mail falsificati per garantire l’anonimato.
Sebbene la randomizzazione del layout dello spazio degli indirizzi (ASLR) sui modelli più recenti vanifichi alcuni tentativi, l’attacco può comunque avere successo, come osservato nella telemetria di Trend Micro. Cisco ha collaborato alle analisi forensi, confermando gli impatti sui dispositivi 3750G gradualmente eliminati insieme alle linee attive 9400 e 9300.
Trend Micro consiglia di implementare Cloud One Network Security per l’applicazione di patch virtuali e la prevenzione delle intrusioni, insieme alle regole di Deep Discovery Inspector come 5497 per il traffico del controller UDP. Inoltre è consigliabile l’applicazione immediata della patch relative al CVE-2025-20352 .
Questa operazione sottolinea i pericoli derivanti da apparecchiature di rete non aggiornate, spingendo le aziende a dare priorità agli aggiornamenti in un contesto di crescenti minacce sponsorizzate dallo Stato e legate alla criminalità informatica.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Dopo aver approfondito i delicati equilibri che vincolano gli operatori di Cyber Threat Intelligence(CTI) tra il GDPR e il rischio di Ricettazione, è fondamentale rivolgere l’attenzione a chiunque,...
Il mondo della tecnologia è un vero e proprio campo di battaglia, dove i geni del coding sfidano ogni giorno i malintenzionati a colpi di exploit e patch di sicurezza. Ecco perché la recente scopert...
Questa notizia ci arriva dal feed News & Research di Recorded Future (Insikt Group): Check Point Research ha documentato una nuova ondata di attività attribuita al threat actor China-linked Ink D...
La cultura del “tanto chi vuoi che mi attacchi?” gira ancora, testarda. Non è uno slogan, è proprio un modo di pensare. Una specie di alibi mentale che permette di rimandare, di non guardare tro...
La sicurezza informatica è un tema che non scherza, specialmente quando si parla di vulnerabilità che possono compromettere l’intero sistema. Ebbene, Hewlett Packard Enterprise (HPE) ha appena lan...
