Rootkit en dispositivos Cisco: se descubre la Operación Zero Disk

Redazione RHC : 15 octubre 2025 21:53

Recientemente se ha detectado una sofisticada campaña de ataque denominada “Operación Disco Cero” , en la que los actores de amenazas están explotando activamente una vulnerabilidad crítica en el Protocolo simple de administración de red (SNMP) de Cisco para instalar rootkits de Linux en dispositivos de red vulnerables.

A partir de octubre de 2025, la campaña afectó a las redes corporativas, lo que puso de manifiesto riesgos persistentes en la infraestructura heredada. La principal vulnerabilidad, detallada en el aviso de seguridad de Cisco, se origina en un desbordamiento de búfer en el marco de autenticación SNMP del software Cisco IOS XE.

Trend Micro observó una operación que explota CVE-2025-20352, que permite la ejecución remota de código (RCE) y otorga acceso persistente no autorizado, dirigido principalmente a conmutadores Cisco más antiguos que carecen de protecciones modernas.

La investigación reveló que los atacantes vincularon este fenómeno a una vulnerabilidad Telnet modificada derivada de CVE-2017-3881 , que fue reutilizada para operaciones de lectura y escritura de memoria en lugar de RCE real.

Los atacantes envían paquetes Get-Request SNMP falsificados para desbordar el búfer, lo que permite la ejecución de código arbitrario en arquitecturas de conmutación de 32 y 64 bits.

Una vez explotado , el malware implementa un rootkit que establece una contraseña universal que contiene el término «disco», una sutil referencia a » Cisco «, lo que otorga a los atacantes amplio acceso mediante métodos de autenticación como AAA e inicios de sesión locales. Este mecanismo de contraseña se conecta al espacio de almacenamiento de IOSd , lo que proporciona persistencia sin archivos que desaparece al reiniciar, lo que dificulta la detección.

Para objetivos de 32 bits, como la antigua serie Cisco 3750G, las vulneraciones mostraron paquetes SNMP fragmentados que contenían comandos, como «$(ps -a», limitados por restricciones de bytes por paquete. En plataformas de 64 bits, incluidas las series Cisco 9400 y 9300 , las vulnerabilidades requieren privilegios elevados para activar los shells de invitado , lo que permite que los controladores basados en UDP realicen operaciones avanzadas posteriores a la explotación.

La campaña se dirige a sistemas obsoletos basados en Linux que carecen de herramientas de detección y respuesta de puntos finales (EDR), utilizando direcciones IP y direcciones de correo electrónico falsificadas para garantizar el anonimato.

Si bien la aleatorización del diseño del espacio de direcciones (ASLR) en los modelos más nuevos impide algunos intentos, el ataque aún puede tener éxito, como se observa en la telemetría de Trend Micro. Cisco colaboró en el análisis forense, confirmando el impacto en los dispositivos 3750G, que se descontinuaron junto con las líneas 9400 y 9300 activas.

Trend Micro recomienda implementar Cloud One Network Security para la aplicación de parches virtuales y la prevención de intrusiones, junto con reglas de Deep Discovery Inspector como la 5497 para el tráfico del controlador UDP. También se recomienda aplicar inmediatamente el parche CVE-2025-20352.

Esta medida resalta los peligros de los equipos de red obsoletos, lo que impulsa a las empresas a priorizar las actualizaciones en medio de las crecientes amenazas patrocinadas por el Estado y los delitos cibernéticos.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli