Неизвестни кибернападатели използват уязвимост в рутeри на Cisco, за да инсталират Linux руткитове на стари, незащитени системи. На всички устройства са зададени пароли, съдържащи думата „disco”. Въпреки че тази уязвимост не се счита за критична, нападателите я експлоатират активно.
Изследователи на Trend Micro откриха, че уязвимостта в Cisco SNMP, индексирана като CVE-2025-20352 (CVSS оценка 7.7), е експлоатирана още преди производителят да пусне корекция.
Грешката засяга протокола Simple Network Management Protocol (SNMP) и, ако бъде успешно експлоатирана, причинява препълване на буфера на стека, което може да доведе до изпълнение на произволен код.
С оторизация в системата, нападателят трябва само да изпрати специално създаден SNMP пакет до уязвимо устройство.
Trend Micro определя кампанията за експлоатиране на тази уязвимост като Operation Zero Disco. Тя все още не е свързана с нито един известен APT участник.
Атаките са били насочени предимно към устройства от сериите Cisco 9400, 9300 и 3750G (последната вече не се поддържа).
Изследователите на Trend Micro отбелязват, че са наблюдавани и опити за експлоатиране на стара уязвимост на Telnet (CVE-2017-3881) за получаване на достъп до паметта.
Стари устройства – гарантирани проблеми
Атакуващите очевидно са фокусирали усилията си върху остарели системи, на които липсват инструменти за откриване на прониквания.
Зловредният софтуер, инсталиран на компрометирани системи, задава „универсални” пароли (които винаги съдържат думата „disco” – очевидно игра на думи със замяната на първата буква в името на Cisco) и инжектира обработчици на прекъсвания в процеса IOSd, който работи на ниво ядро.
Руткитът се контролира от компонент на UDP контролер, който може да:
- действа като регистратор за входящи UDP пакети на всеки порт;
- активира или деактивира регистрирането;
- създава универсална парола чрез промяна на паметта на IOSd;
- заобикаля AAA удостоверяването;
- скрива определени части от текущата конфигурация;
- маскира промените, направени в конфигурацията, като променя времевия печат, така че да изглежда непроменен.
Устройства, които остаряват или вече не се поддържат, редовно стават мишени за всякакви нападатели, особено ако някога са били много популярни. Ето защо специалистите съветват мрежовото оборудване да бъде унищожено, преди поддръжката да приключи.
