漏洞概述
一项被称为"Operation Zero Disco"的高级攻击活动正在积极利用 Cisco(思科)简单网络管理协议(SNMP)的关键漏洞,通过植入 Linux rootkit 控制易受攻击的网络设备。趋势科技监测到该活动利用的 CVE-2025-20352 漏洞可实现远程代码执行(RCE),主要针对缺乏现代防护机制的旧版 Cisco 交换机。截至 2025 年 10 月,已有企业网络遭受攻击,暴露出遗留基础设施的持续风险。
攻击机制分析
根据 Cisco 安全公告,该漏洞源于 Cisco IOS XE 软件 SNMP 认证框架的缓冲区溢出。攻击者通过构造特制 SNMP Get-Request 数据包触发溢出,在 32 位和 64 位交换机架构上实现任意代码执行。漏洞利用后,恶意软件会部署包含通用密码"disco"的 rootkit(此命名暗指"Cisco"),使攻击者能通过 AAA 认证和本地登录等方式广泛访问系统。
该密码机制会挂钩 IOSd 内存空间,实现无文件持久化驻留,并在设备重启后自动清除痕迹以增加检测难度。趋势科技调查还发现,攻击者将此漏洞与基于 CVE-2017-3881 修改的 Telnet 漏洞串联使用,将其功能转向内存读写操作而非直接 RCE。
网络渗透手法
在模拟真实入侵的测试场景中,攻击者利用交换机默认公开的 SNMP 共同体字符串渗透隔离网络。他们先使用窃取的凭证绕过外部防火墙,随后针对核心交换机操纵 VLAN 路由,并通过在 guest shell 中运行 Linux ELF 二进制文件实施 ARP 欺骗。
通过伪装可信中继 IP,入侵者可关闭日志记录、重定向流量,并在不触发内部防火墙警报的情况下访问服务器区等受保护区域。退出时还会恢复日志和时间戳以消除痕迹,实现在 DMZ 区、办公区域和安全数据区的隐蔽横向移动。
防护建议
目前尚无自动化工具能完全检测此类 rootkit,建议企业联系 Cisco TAC 进行固件检测。趋势科技推荐部署 Cloud One Network Security 进行虚拟补丁和入侵防御,同时启用 Deep Discovery Inspector 的 5497 规则监测 UDP 控制器流量。Vision One 用户可使用狩猎查询和 IoC 扫描功能,通过 46396 等规则阻断 SNMP 溢出攻击。
紧急应对措施包括立即修补 CVE-2025-20352 漏洞、限制 SNMP 仅限认证共同体访问,以及对遗留设备进行网络隔离。此次行动再次警示未打补丁的网络设备面临的严重威胁,在企业面临国家支持攻击和网络犯罪激增的背景下,必须优先落实系统更新。
参考来源:
Cisco SNMP 0-Day Vulnerability Actively Exploited To Deploy Linux Rootkits
