最近のゼロデイ脆弱性に対して未修正の古いCiscoデバイスが、新たなキャンペーンでルートキットに感染しているとTrend Microが報告しています。
悪用された欠陥はCVE-2025-20352(CVSSスコア7.7)として追跡されており、9月下旬にCiscoが実際に悪用されていることを警告した際に修正されました。
このバグは、IOSおよびIOS XEデバイスのSimple Network Management Protocol(SNMP)におけるスタックオーバーフロー問題として説明されており、低権限の攻撃者がサービス拒否(DoS)状態を引き起こすことができ、高権限の攻撃者によってリモートコード実行(RCE)にも悪用される可能性があります。
現在、Trend Microは、脅威アクターがこの脆弱性を悪用して、Cisco 9400、9300、旧型3750Gシリーズデバイスなどの古い脆弱なデバイスにルートキットを展開していることを観測したと述べています。
「この作戦は、エンドポイント検出応答ソリューションを持たない古いLinuxシステムを実行している被害者を標的とし、Linuxルートキットを展開して活動を隠し、ブルーチームの調査や検出を回避しました」とTrend Microは指摘しています。
このキャンペーンはOperation ZeroDiscoと名付けられており、マルウェアが「disco」という単語を含むユニバーサルパスワードを設定します。これはCiscoの綴りを一文字変えたものです。
CVE-2025-20352に加えて、ハッカーはメモリの読み書きを可能にするRCEにつながるTelnetの脆弱性CVE-2017-3881の修正版エクスプロイトも使用しました。
32ビットシステムに対しては、攻撃者は悪意のあるSNMPパケットを使って脆弱なデバイスにコマンドを送信し、Telnetエクスプロイトを利用して任意アドレスでのメモリ読み書きを行いました。
64ビットシステムに対しては、脅威アクターはSNMPエクスプロイトを用いてルートキットを展開し、その後ユニバーサルパスワードでログインしてファイルレスバックドアを展開しました。攻撃者はまた、異なるVLANを接続して横方向移動も行いました。
Trend Microの説明によると、ルートキットは閉じているものも含めて任意のデバイスポートに送信されるUDPパケットを監視し、攻撃者がバックドア機能の設定やトリガーを行えるようにします。また、IOSdメモリを変更してほとんどの認証方式で機能するユニバーサルパスワードを設定します。
さらに、ルートキットはメモリ上のrunning-config項目を隠し、VTY(Ciscoデバイスのリモートアクセス用仮想インターフェース)に適用されたACLのバイパスを可能にし、ログ履歴を無効化し、running-configの書き込みタイムスタンプをリセットして変更を隠します。
「現在、ZeroDisco作戦によってCiscoスイッチが侵害されたかどうかを確実に判定できるユニバーサルな自動化ツールは存在しません。スイッチが影響を受けている疑いがある場合は、直ちにCisco TACに連絡し、ベンダーにファームウェア/ROM/ブート領域の低レベル調査を依頼することを推奨します」とTrend Microは述べています。
翻訳元: https://www.securityweek.com/cisco-routers-hacked-for-rootkit-deployment/
