脅威アクターは、最近修正されたリモートコード実行の脆弱性(CVE-2025-20352)を、古い保護されていないCiscoネットワーク機器で悪用し、Linuxルートキットを展開して永続的なアクセスを獲得しました。
攻撃で利用されたこのセキュリティ問題は、Cisco IOSおよびIOS XEのSimple Network Management Protocol(SNMP)に影響し、攻撃者がroot権限を持っている場合、RCE(リモートコード実行)につながります。
サイバーセキュリティ企業Trend Microによると、攻撃はエンドポイント検知応答ソリューションが導入されていないCisco 9400、9300、および旧型の3750Gシリーズ機器を標的にしていました。
10月6日に更新されたCVE-2025-20352の最初のセキュリティ情報で、Ciscoはこの脆弱性をゼロデイとして悪用されたとし、同社の製品セキュリティインシデント対応チーム(PSIRT)は「実際に悪用されたことを認識している」と述べました。
Trend Microの研究者は、この攻撃を「Operation Zero Disco」と名付けて追跡しています。これはマルウェアが「disco」という単語を含むユニバーサルアクセスパスワードを設定するためです。
Trend Microのレポートによると、脅威アクターはCVE-2017-3881、IOSおよびIOS XEのクラスタ管理プロトコルコードに存在する7年前の脆弱性の悪用も試みていました。
脆弱なシステムに仕込まれたルートキットは、任意のポートでリッスンできるUDPコントローラーを備え、ログの切り替えや削除、AAAおよびVTY ACLのバイパス、ユニバーサルパスワードの有効化/無効化、実行中の設定項目の隠蔽、それらの最終書き込みタイムスタンプのリセットなどが可能です。
出典: Trend Micro
シミュレートされた攻撃では、研究者はログの無効化、ARPスプーフィングによるウェイステーションIPのなりすまし、内部ファイアウォールルールのバイパス、VLAN間の横移動が可能であることを示しました。
出典: Trend Micro
新しいスイッチはアドレス空間配置のランダム化(ASLR)保護によりこれらの攻撃に対してより耐性がありますが、Trend Microは「完全に無敵ではなく、継続的な標的化によって侵害される可能性がある」と述べています。
ルートキットが展開された後、マルウェアは「IOSdに複数のフックをインストールし、再起動後にファイルレスコンポーネントが消える」と研究者は述べています。
研究者はSNMPエクスプロイトの32ビット版と64ビット版の両方の回収に成功しました。
Trend Microは、現時点でこれらの攻撃によって侵害されたCiscoスイッチを確実に検出できるツールは存在しないと指摘しています。ハッキングの疑いがある場合は、低レベルのファームウェアおよびROM領域の調査を推奨しています。
「Operation Zero Disco」に関連する侵害の指標(IoC)のリストはこちらで確認できます。
