Investigadores de ciberseguridad han revelado detalles de una nueva campaña que aprovechó una falta de seguridad recientemente revelada que afecta al software Cisco IOS y al software IOS XE para implementar rootkits de Linux en sistemas más antiguos y desprotegidos.
La actividad, cuyo nombre en esencia Operación Cero Disco de Trend Micro, implica el uso como arsenal de CVE-2025-20352 (puntuación CVSS: 7,7), una vulnerabilidad de desbordamiento de pila en el subsistema del Protocolo simple de distribución de red (SNMP) que podría permitir a un atacante remoto autenticado ejecutar código infundado enviando paquetes SNMP diseñados a un dispositivo susceptible. Las intrusiones no se han atribuido a ningún actor o agrupación de amenazas conocido.
Cisco solucionó la deficiencia a fines del mes pasado, pero no antiguamente de que fuera explotada como un día cero en ataques del mundo vivo.
“La operación afectó principalmente a los dispositivos de las series Cisco 9400, 9300 y 3750G heredados, con intentos adicionales de explotar una vulnerabilidad Telnet modificada (basada en CVE-2017-3881) para permitir el golpe a la memoria”, dijeron los investigadores Dove Chiu y Lucien Chuang.
La compañía de ciberseguridad todavía señaló que los rootkits permitieron a los atacantes obtener la ejecución remota de código y obtener golpe no competente persistente estableciendo contraseñas universales e instalando enlaces en el espacio de memoria del demonio IOS de Cisco (IOSd). IOSd se ejecuta como un proceso de software interiormente del kernel de Linux.
Otro aspecto extraordinario de los ataques es que señalaron a las víctimas que ejecutaban sistemas Linux más antiguos que no tenían habilitadas las soluciones de respuesta de detección de endpoints, lo que hacía posible implementar los rootkits para advenir desapercibidos. Por otra parte, se dice que el adversario utilizó IP y direcciones de correo electrónico de Mac falsificadas en sus intrusiones.
El rootkit se controla mediante un componente de regulador UDP que puede servir como audición de paquetes UDP entrantes en cualquier puerto, codearse o deshabilitar el historial de registro, crear una contraseña universal modificando la memoria IOSd, silenciar la autenticación AAA, ocultar ciertas partes de la configuración en ejecución y ocultar los cambios realizados en la configuración alterando la marca de tiempo para dar la impresión de que nunca se modificó.
Por otra parte de CVE-2025-20352, todavía se ha observado que los actores de amenazas intentan explotar una vulnerabilidad Telnet que es una lectura modificada de CVE-2017-3881 para permitir la leída/escritura de memoria en direcciones arbitrarias. Sin secuestro, la naturaleza exacta de la funcionalidad aún no está clara.
El nombre “Zero Disco” es una remisión al hecho de que el rootkit implantado establece una contraseña universal que incluye la palabra “disco”, un cambio de una letrilla de “Cisco”.
“El malware luego instala varios ganchos en el IOSd, lo que hace que los componentes sin archivos desaparezcan luego de reiniciar”, señalaron los investigadores. “Los modelos de conmutadores más nuevos brindan cierta protección a través de la aleatorización del diseño del espacio de direcciones (ASLR), que reduce la tasa de éxito de los intentos de intrusión; sin secuestro, debe tenerse en cuenta que los intentos repetidos aún pueden tener éxito”.
