Hackers misbruiken Cisco-lek om rootkit op switches te installeren

In dit artikel:

Beveiligingsonderzoekers van Trend Micro hebben een nieuwe aanvalscampagne, Operation Zero Disco, beschreven die misbruikmaakt van een recent bevestigde zero-day in Cisco’s SNMP-implementatie (CVE-2025-20352). De fout, begin oktober door Cisco erkend als actief misbruikt, treft Cisco IOS en IOS XE en maakt op afstand code-uitvoering mogelijk op met name oudere, onbeschermde switches (onder andere 9400-, 9300- en 3750G-series). Cisco’s PSIRT wist van succesvolle exploitatie nog voordat een patch uitkwam.

Aanvallers installeren een Linux-rootkit in het IOSd-proces die blijvende toegang biedt: de malware voegt een universeel wachtwoord met het woord “disco” toe, plaatst geheugenhooks om logbestanden en configuraties te manipuleren en omzeilt authenticatiecontroles. Er zijn zowel 32- als 64-bit varianten aangetroffen; de 64-bit versie vereist aanvankelijk toegang tot de guest shell met beheerdersniveau (niveau 15) maar geeft daarna volledige controle. De exploit werkt via het SNMP-proces en kan gecombineerd worden met een aangepast oud lek (CVE-2017-3881) om geheugen te lezen en te beschrijven.

De rootkit activeert bovendien een verborgen UDP-controller die op elke poort kan luisteren, waarmee aanvallers logs wissen, AAA- en VTY-regels omzeilen, configuratie verbergen, timestamps aanpassen en via ARP-spoofing laterale beweging binnen het netwerk faciliteren. Modernere switches met ASLR zijn minder vatbaar, maar niet immuun.

Cisco leverde forensische input aan het onderzoek, maar er is nog geen betrouwbaar geautomatiseerd detectiemiddel om infecties vast te stellen. Trend Micro raadt aan SNMP-communitystrings (zoals de default “public”) te wijzigen, Telnet uit te schakelen, intrusion prevention-systemen in te zetten en waar mogelijk firmware-updates/patches toe te passen. Trend Micro-producten zoals Vision One en Cloud One Network Security kunnen mogelijk verkeer van de verborgen UDP-controller herkennen.