Redazione RHC : 15 Ottobre 2025 21:50
Una sofisticata campagna di attacco denominata “Operazione Zero Disco” è stata rilevata recentemente, dove gli autori della minaccia sfruttano attivamente una vulnerabilità critica del Cisco Simple Network Management Protocol (SNMP) per installare rootkit Linux su dispositivi di rete vulnerabili.
A partire da ottobre 2025, la campagna ha avuto un impatto sulle reti aziendali, evidenziando i rischi persistenti nelle infrastrutture legacy. La falla principale, descritta in dettaglio nell’avviso di sicurezza di Cisco, deriva da un buffer overflow nel framework di autenticazione SNMP sul software Cisco IOS XE.
Trend Micro ha osservato un’operazione che sfrutta CVE-2025-20352 , che consente l’esecuzione di codice remoto (RCE) e garantisce un accesso non autorizzato persistente, prendendo di mira principalmente gli switch Cisco più vecchi, privi di protezioni moderne.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’indagine ha rivelato che gli aggressori hanno collegato questo fenomeno a una vulnerabilità Telnet modificata derivata da CVE-2017-3881, riutilizzata per operazioni di lettura/scrittura della memoria anziché per RCE vera e propria.
Gli aggressori inviano pacchetti SNMP Get-Request contraffatti per far traboccare il buffer, consentendo l’esecuzione di codice arbitrario su architetture di switch sia a 32 bit che a 64 bit.
Una volta sfruttato, il malware distribuisce un rootkit che imposta una password universale contenente il termine “disco”, un sottile riferimento a “Cisco“, garantendo agli aggressori un ampio accesso tramite metodi di autenticazione come AAA e accessi locali. Questo meccanismo di password si aggancia allo spazio di memoria IOSd, garantendo una persistenza senza file che scompare al riavvio, complicando il rilevamento.
Per i target a 32 bit come la serie legacy Cisco 3750G, le compromissioni hanno mostrato pacchetti SNMP frammentati che veicolavano comandi, come “$(ps -a”, limitati da vincoli di byte per pacchetto. Sulle piattaforme a 64 bit, tra cui le serie Cisco 9400 e 9300, gli exploit richiedono privilegi elevati per attivare le shell guest, consentendo ai controller basati su UDP di effettuare operazioni di post-exploitation avanzate.
La campagna si concentra sui sistemi obsoleti basati su Linux, privi di strumenti di rilevamento e risposta degli endpoint (EDR) , utilizzando IP e indirizzi e-mail falsificati per garantire l’anonimato.
Sebbene la randomizzazione del layout dello spazio degli indirizzi (ASLR) sui modelli più recenti vanifichi alcuni tentativi, l’attacco può comunque avere successo, come osservato nella telemetria di Trend Micro. Cisco ha collaborato alle analisi forensi, confermando gli impatti sui dispositivi 3750G gradualmente eliminati insieme alle linee attive 9400 e 9300.
Trend Micro consiglia di implementare Cloud One Network Security per l’applicazione di patch virtuali e la prevenzione delle intrusioni, insieme alle regole di Deep Discovery Inspector come 5497 per il traffico del controller UDP. Inoltre è consigliabile l’applicazione immediata della patch relative al CVE-2025-20352 .
Questa operazione sottolinea i pericoli derivanti da apparecchiature di rete non aggiornate, spingendo le aziende a dare priorità agli aggiornamenti in un contesto di crescenti minacce sponsorizzate dallo Stato e legate alla criminalità informatica.
RedazioneI ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
