Redazione RHC : 15 Ottobre 2025 21:50
Una sofisticata campagna di attacco denominata “Operazione Zero Disco” è stata rilevata recentemente, dove gli autori della minaccia sfruttano attivamente una vulnerabilità critica del Cisco Simple Network Management Protocol (SNMP) per installare rootkit Linux su dispositivi di rete vulnerabili.
A partire da ottobre 2025, la campagna ha avuto un impatto sulle reti aziendali, evidenziando i rischi persistenti nelle infrastrutture legacy. La falla principale, descritta in dettaglio nell’avviso di sicurezza di Cisco, deriva da un buffer overflow nel framework di autenticazione SNMP sul software Cisco IOS XE.
Trend Micro ha osservato un’operazione che sfrutta CVE-2025-20352 , che consente l’esecuzione di codice remoto (RCE) e garantisce un accesso non autorizzato persistente, prendendo di mira principalmente gli switch Cisco più vecchi, privi di protezioni moderne.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’indagine ha rivelato che gli aggressori hanno collegato questo fenomeno a una vulnerabilità Telnet modificata derivata da CVE-2017-3881, riutilizzata per operazioni di lettura/scrittura della memoria anziché per RCE vera e propria.
Gli aggressori inviano pacchetti SNMP Get-Request contraffatti per far traboccare il buffer, consentendo l’esecuzione di codice arbitrario su architetture di switch sia a 32 bit che a 64 bit.
Una volta sfruttato, il malware distribuisce un rootkit che imposta una password universale contenente il termine “disco”, un sottile riferimento a “Cisco“, garantendo agli aggressori un ampio accesso tramite metodi di autenticazione come AAA e accessi locali. Questo meccanismo di password si aggancia allo spazio di memoria IOSd, garantendo una persistenza senza file che scompare al riavvio, complicando il rilevamento.
Per i target a 32 bit come la serie legacy Cisco 3750G, le compromissioni hanno mostrato pacchetti SNMP frammentati che veicolavano comandi, come “$(ps -a”, limitati da vincoli di byte per pacchetto. Sulle piattaforme a 64 bit, tra cui le serie Cisco 9400 e 9300, gli exploit richiedono privilegi elevati per attivare le shell guest, consentendo ai controller basati su UDP di effettuare operazioni di post-exploitation avanzate.
La campagna si concentra sui sistemi obsoleti basati su Linux, privi di strumenti di rilevamento e risposta degli endpoint (EDR) , utilizzando IP e indirizzi e-mail falsificati per garantire l’anonimato.
Sebbene la randomizzazione del layout dello spazio degli indirizzi (ASLR) sui modelli più recenti vanifichi alcuni tentativi, l’attacco può comunque avere successo, come osservato nella telemetria di Trend Micro. Cisco ha collaborato alle analisi forensi, confermando gli impatti sui dispositivi 3750G gradualmente eliminati insieme alle linee attive 9400 e 9300.
Trend Micro consiglia di implementare Cloud One Network Security per l’applicazione di patch virtuali e la prevenzione delle intrusioni, insieme alle regole di Deep Discovery Inspector come 5497 per il traffico del controller UDP. Inoltre è consigliabile l’applicazione immediata della patch relative al CVE-2025-20352 .
Questa operazione sottolinea i pericoli derivanti da apparecchiature di rete non aggiornate, spingendo le aziende a dare priorità agli aggiornamenti in un contesto di crescenti minacce sponsorizzate dallo Stato e legate alla criminalità informatica.
RedazionePiaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
Sulla veranda di una vecchia baita in Colorado, Mark Gubrud, 67 anni, osserva distrattamente il crepuscolo in lontananza, con il telefono accanto a sé, lo schermo ancora acceso su un’app di notizie...
Anthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
