Investigadores de ciberseguridad han revelado detalles de una nueva campaña que explota fallas de seguridad reveladas recientemente que afectan al software Cisco IOS y al software IOS XE para implementar rootkits de Linux en sistemas más antiguos y desprotegidos.
La actividad, cuyo nombre en código es «Operación Disco Cero» de Trend Micro, implica la utilización como arma de CVE-2025-20352 (puntuación CVSS: 7,7), una vulnerabilidad de desbordamiento de pila en el subsistema del Protocolo simple de administración de red (SNMP) que podría permitir que un atacante remoto autenticado ejecute código arbitrario enviando paquetes SNMP diseñados a un dispositivo susceptible. Esta intrusión no fue causada por ningún atacante o grupo conocido.
Cisco solucionó la falla a fines del mes pasado, pero no antes de que fuera explotada como un ataque de día cero en la naturaleza.
«Esta operación afectó principalmente a los dispositivos Cisco 9400, 9300 y las series heredadas 3750G. También hubo un intento de explotar una vulnerabilidad Telnet modificada (basada en CVE-2017-3881) para obtener acceso a la memoria», dijeron los investigadores Dove Chiu y Lucien Chuang.
La firma de ciberseguridad también señaló que el rootkit permitió a los atacantes ejecutar código de forma remota y obtener acceso no autorizado permanente estableciendo una contraseña universal e instalando enlaces en el espacio de memoria del demonio IOS de Cisco (IOSd). IOSd se ejecuta como un proceso de software dentro del kernel de Linux.
Otro aspecto notable de este ataque fue que identificó a las víctimas que ejecutaban sistemas Linux más antiguos sin soluciones de respuesta y detección de endpoints habilitadas, lo que les permitió pasar desapercibidos e implementar el rootkit. Además, los atacantes supuestamente utilizaron IP y direcciones de correo electrónico de Mac falsificadas para la infracción.
Además de CVE-2025-20352, también se ha observado que los atacantes intentan explotar una vulnerabilidad Telnet que es una versión modificada de CVE-2017-3881 para permitir la lectura/escritura de memoria en direcciones arbitrarias. Sin embargo, se desconoce la naturaleza exacta de la función.
El nombre «Zero Disco» proviene del hecho de que el rootkit integrado establece una contraseña universal que contiene la palabra «disco», que es «Cisco» con una letra cambiada.
«El malware luego instala varios ganchos en IOSd, lo que hace que el componente sin archivos desaparezca después de reiniciar», señalan los investigadores. «El nuevo modelo de conmutador proporciona cierta protección a través de la aleatorización del diseño del espacio de direcciones (ASLR), que reduce la tasa de éxito de los intentos de intrusión. Sin embargo, tenga en cuenta que los intentos repetidos aún pueden tener éxito».
Source link
