思科交换机遭隐形"Zero Disco"Rootkit攻击,黑客获完全控制权

趋势科技披露"Operation Zero Disco"高级攻击活动,攻击者利用思科交换机SNMP协议关键漏洞CVE-2025-20352部署隐形Linux rootkit,获得网络基础设施的永久隐蔽控制权,该攻击采用无文件内存驻留技术,可绕过所有认证并隐藏恶意配置。

思科交换机遭主动攻击:隐形"Zero Disco"Rootkit赋予黑客完全控制权

机器中的幽灵!“Operation Zero Disco"通过关键SNMP漏洞劫持思科交换机,安装无法检测的rootkit实现完全、持久的控制。

在年度最重要的网络安全披露之一中,趋势科技详细介绍了"Operation Zero Disco”——一个利用思科交换机关键漏洞的高度复杂攻击活动。威胁行为者利用简单网络管理协议(SNMP)中的缺陷安装隐蔽的Linux rootkit,从而获得对网络基础设施的永久、隐蔽控制。这代表了攻击者方法的根本转变,从服务器和工作站转向网络本身的核心骨干。

CVE-2025-20352漏洞详解

整个攻击链始于单点故障:CVE-2025-20352。

这是特定思科IOS XE和IOS软件SNMP子系统中的一个严重评级漏洞(CVSS评分可能9.8+)。SNMP是用于监控和管理网络设备的普遍服务。该漏洞允许未经身份验证的远程攻击者通过向易受攻击设备发送特制SNMP数据包,以最高权限级别(root)执行任意代码。

最令人担忧的是,利用此漏洞不需要用户交互,且不会留下即时取证痕迹,使得初始入侵几乎无声无息。

主要攻击目标

该活动显示出对关键思科交换硬件的针对性关注,包括:

  • 思科Catalyst 9400和9300系列交换机
  • 传统思科Catalyst 3750系列交换机

这些设备并不罕见;它们是全球企业网络的基础设施,处理着企业、政府和关键基础设施的数据。攻击者战略性地针对这些设备的旧版、未修补或面向互联网的实例。

高级攻击剖析

Operation Zero Disco不是简单的破坏性攻击;它是一个有条不紊的多阶段操作,旨在实现最大隐蔽性和持久性。

阶段1:初始入侵和漏洞利用

攻击从广泛扫描识别易受攻击设备开始。一旦定位目标,攻击者部署CVE-2025-20352漏洞利用。此恶意SNMP数据包触发漏洞,允许攻击者突破协议的预期约束,在底层操作系统上以root级别权限执行自己的命令。

阶段2:部署"Zero Disco"Rootkit

建立立足点后,攻击者安装其同名有效载荷:定制Linux rootkit。这里展示了该行动真正的复杂性。与将文件写入磁盘的传统恶意软件不同,此rootkit基本上是无文件的。它通过将恶意代码直接注入关键IOSd进程的内存中来操作——这是运行交换机操作系统的核心软件。

Rootkit的关键能力包括:

  • 通用后门密码:设置秘密硬编码密码,提供对交换机控制台的后门访问,完全绕过所有合法配置的用户凭据。
  • 内存驻留:主要通过内存运行,避免在文件系统中留下痕迹,使传统的基于文件的防病毒和完整性检查无效。
  • 持久化机制:Rootkit设计为在设备重启后仍能存活,确保入侵长期存在。

阶段3:通过UDP后门进行命令和控制

为保持远程控制,rootkit建立隐蔽通信通道。单独的基于UDP的后门组件监听来自攻击者命令和控制(C2)服务器的加密命令。

此后门控制器赋予攻击者对设备的上帝级控制,使他们能够:

  • 禁用所有系统日志记录,有效使交换机"忘记"所有恶意活动。
  • 绕过身份验证检查,授予使用秘密握手的任何人访问权限。
  • show running-config命令中隐藏恶意配置。特定用户帐户、EEM小程序和访问控制列表(ACL)可以在设备上活动,同时对网络管理员完全不可见。
  • 执行"时间戳篡改",操纵文件时间戳以避免在取证审计期间被检测。

阶段4:横向移动和间谍活动

完全、隐形地控制网络交换机后,攻击者获得了战略优势点。他们现在可以:

  • 桥接独立的VLAN,拆除旨在遏制漏洞的关键网络分段。
  • 进行ARP欺骗以冒充受信任的IP地址,允许他们绕过内部防火墙并拦截传输中的敏感数据。
  • 从受信任的网络位置横向移动整个网络,以瞄准高价值服务器和工作站。

缓解和防御:战略响应

鉴于此威胁的严重性和隐蔽性,分层且即时的防御策略是必须的。

立即行动:修补和变通方案

最有效的单一行动是应用官方补丁。组织必须立即将其思科交换机升级到修复的软件版本。应使用思科软件检查器为特定硬件型号识别正确版本。

如果无法立即修补,可使用临时缓解措施。管理员可以使用SNMP视图配置禁用特定的易受攻击对象ID(OID):

1
2

snmp-server view NO-DISCO iso excluded
snmp-server community public view NO-DISCO RO

重要提示:这是临时变通方案,不是永久解决方案。修补仍然至关重要。

战略安全加固

除了立即缓解外,组织必须加强其安全态势:

  • 消除默认SNMP社区:立即更改或禁用众所周知的社区字符串,如"public"和"private"。
  • 限制SNMP访问:使用访问控制列表(ACL)确保SNMP服务仅可从专用、受信任的管理站访问,并阻止一般网络访问。
  • 进行主动威胁狩猎:没有自动化工具可可靠检测入侵。安全团队必须搜寻异常,例如无法解释的设备重启、意外的EEM脚本或不寻常的SNMP流量模式。
  • 联系思科TAC进行取证分析:如果怀疑入侵,唯一可靠的操作是联系思科技术援助中心进行低级取证调查。

这证明了高级威胁行为者现在正系统地瞄准网络基础设施本身,使用设计为对传统安全控制不可见的工具。

强大的远程可利用漏洞与高级持久rootkit的结合为企业安全创造了完美风暴。此活动作为一个严峻提醒:网络设备不仅仅是管道——它们是关键的安全端点,需要与任何服务器或台式机相同级别的审查、修补和监控。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次