主要发现
- 攻击者利用Cisco SNMP漏洞(CVE-2025-20352)在老旧未防护系统上部署Linux rootkit,实现远程代码执行(RCE)和持久化未授权访问,通过设置通用密码并在IOSd内存空间安装钩子
- 该行动主要影响Cisco 9400、9300和传统3750G系列设备,还尝试利用修改版Telnet漏洞(基于CVE-2017-3881)启用内存访问
- Trend Vision One™可检测并阻止本文讨论的IoCs。趋势科技客户还可访问定制化狩猎查询、威胁洞察和情报报告,以更好地理解和主动防御此活动
漏洞利用分析
趋势研究检测到攻击者利用Cisco简单网络管理协议(SNMP)漏洞在易受攻击的网络设备上安装rootkit的操作。Cisco最新公告中引用的SNMP漏洞是CVE-2025-20352,影响32位和64位交换机版本,可导致远程代码执行(RCE)。趋势研究调查还发现攻击者在攻击中使用伪造IP和Mac地址。
调查显示,一旦Cisco设备被植入rootkit,恶意软件会设置包含"disco"一词的通用密码,趋势研究认为这是对Cisco的一字母修改。恶意软件随后在IOSd上安装多个钩子,导致无文件组件在重启后消失。较新的交换机型号通过地址空间布局随机化(ASLR)提供一定保护,降低了入侵尝试的成功率;但应注意重复尝试仍可能成功。
截至撰写时,趋势科技遥测已检测到Cisco 9400系列和9300系列受此操作影响。该操作还影响了没有guest shell可用的Cisco 3750G设备,但此类设备已被淘汰。Cisco也通过提供产品取证和影响数据为此研究做出贡献,协助了趋势调查。
该操作还尝试利用修改版CVE-2017-3881的Telnet漏洞。CVE-2017-3881漏洞已知可被利用导致RCE,但攻击者的尝试修改它以启用内存读/写。
漏洞利用调查
趋势调查从针对32位和64位平台的受攻陷Linux攻击中恢复了多个漏洞利用。
32位
- SNMP漏洞利用能够安装rootkit
- 网络捕获显示漏洞利用流量针对3750G SNMP服务;不幸的是,漏洞利用代码未完全恢复。图1显示我们在野外捕获的恶意SNMP数据包,揭示了黑客命令的一部分"$(ps -a":调查表明由于漏洞利用限制,黑客每个SNMP数据包只能发送少量字节命令,因此整个命令被分割成多个SNMP数据包
- Telnet漏洞利用
- 调查确认Telnet漏洞利用被滥用以允许在任意地址进行内存读/写,但截至撰写时完整功能未知
64位
- SNMP漏洞利用能够安装rootkit
- 被滥用以访问64位交换机版本的SNMP漏洞利用要求攻击者能够在Cisco设备上运行guest shell;这需要15级权限。如果成功,攻击者可以使用通用密码登录并安装无文件后门。之后,攻击者使用UDP控制器执行各种操作
- SNMP漏洞利用可完全停止目标上的跟踪日志记录
- 此漏洞利用不使用mmap;攻击者只需获取少量地址即可使漏洞利用变为RCE
- 功能未知的SNMP漏洞利用
趋势调查还发现了用于控制rootkit的UDP控制器组件,以及在Cisco交换机上的arp欺骗工具。
UDP控制器提供几个强大的管理功能:可切换日志历史记录开关或完全删除日志记录;绕过AAA认证和绕过VTY访问控制列表;启用或禁用通用密码;隐藏运行配置的部分内容;重置最后运行配置写入的时间戳,使配置看起来从未被更改。
攻击场景
图3显示了模拟网络图,其中每个区域通过核心交换机和不同VLAN分隔。为便于管理,SSH或RDP仅允许从指定工作站并通过内部防火墙控制的服务器。同时,外部防火墙保护所有区域。此场景中的受害者使用SNMP监控每个交换机的状态,其中每个路由器上的SNMP community默认设置为public。
在此模拟中,假设攻击者已获取网络详细信息,如访问网络上不同设备的关键密码。攻击者知道必须绕过外部防火墙才能进入受保护区域,而内部防火墙仅允许来自工作站的SSH。由于所有交换机都使用默认设置为public的SNMP,这可能是攻击者的入口点。通过利用此漏洞,攻击者可能还获得对关键交换机和核心交换机的特权访问。
一旦攻击者获得对核心交换机的访问权限,他们可以通过添加路由规则连接到不同VLAN。但这不足以绕过内部防火墙,因此他们冒充工作站的IP地址绕过内部防火墙。为此,攻击者:
- 远程禁用核心交换机日志
- 登录核心交换机
- 在连接到受保护区域的端口上分配工作站IP
- 在该端口上进行arp欺骗,将旧工作站IP重定向到核心交换机,导致原始工作站因IP地址冲突或不匹配而离线
Cisco上的arp欺骗工具是Linux elf二进制文件,可在Cisco guest shell上运行以执行arp欺骗。
一旦攻击者设置了不同的IP地址并成功绕过内部防火墙,他们就获得了对受保护区域的访问权限。攻击者随后通过退出时恢复核心交换机上的设置并远程重新打开日志功能来逃避检测。
趋势调查的实际攻击更为复杂,因为受害者的网络架构也更加复杂。
技术细节
当rootkit在利用漏洞后成功安装在设备上时,攻击获得远程控制并连接不同的2个VLAN,允许横向移动。趋势调查揭示了rootkit的主要功能,列出如下:
- 在任何端口上充当UDP监听器。rootkit接受指向设备分配的任何IP的UDP数据包;值得注意的是,此功能生效不需要端口开放。攻击者使用此通道配置或触发后门功能
- 创建通用密码(默认启用)。此功能通过修改IOSd内存实现。由于它挂钩低级认证函数,密码适用于大多数认证方法(AAA、本地登录、启用密码等)。此更改是易失性的,在重启后消失
- 在内存中隐藏某些运行配置项(默认禁用)。启用时,rootkit从运行配置中隐藏指定的账户名称、EEM脚本和ACL。趋势调查发现一些隐藏的账户名称,如观察到:
- dg3y8dpk dg4y8epk dg5y8fpk dg6y8gpk dg7y8hpk
- 隐藏的EEM脚本:CiscoEMX-1到CiscoEMX-5
- 隐藏的ACL:EnaQWklg0、EnaQWklg1、EnaQWklg2
- 允许VTY ACL绕过(默认禁用)。cisco VTY指Cisco设备(如路由器或交换机)上允许通过telnet或ssh等协议远程访问的虚拟接口。管理员可应用ACL控制对VTY线路的访问,但如果启用VTY,绑定到它的任何ACL将被忽略
- 切换或删除设备日志。此功能允许攻击者通过将日志大小设置为零来暂时禁用日志历史记录
- 重置最后运行配置写入时间戳。用于隐藏更改,使配置看起来从未被修改
检测和安全建议
目前没有通用的自动化工具可以可靠确定Cisco交换机是否被ZeroDisco操作成功攻陷。如果怀疑交换机受影响,建议立即联系Cisco TAC,并要求供应商协助进行固件/ROM/引导区域的低级调查。
对于早期检测,趋势推荐使用Trend Cloud One™ Network Security,它通过虚拟补丁、入侵防御(IPS)和攻陷后检测提供云网络流量的深度检查,以防止恶意软件和零日攻击。它提供实时威胁情报、自定义规则集、行为分析,并支持混合云环境,与其他Trend Cloud One服务和Trend Vision One™集成以进行扩展检测和响应(XDR)。
Trend Micro™ Deep Discovery™ 也可以通过检测Cisco漏洞利用和UDP控制器通信来帮助降低风险。Deep Discovery使用虚拟补丁和智能威胁检测来检查入站和出站网络流量中的高级威胁、勒索软件和定向攻击。
Trend Cloud One Network Security和TippingPoint Threat Protection System
- 46396 - SNMP: Cisco IOS XE Software Authframework OID Get-Request Buffer Overflow Vulnerability
Deep Discovery规则
- 5497 - UDP_CONTROLLER_REQUEST
- 5488 - SNMP_CISCO_AUTHFRAMEWORK_OID_REQUEST
Trend Vision One™ Endpoint Security Workbench
- Multiple Suspicious UDP Payload Sent Using Shell and Netcat
使用Trend Vision One™进行主动安全
Trend Vision One™是唯一AI驱动的企业网络安全平台,集中网络风险暴露管理和安全操作,在本地、混合和多云环境中提供强大的分层保护。
Trend Vision One™威胁情报
为保持领先于不断发展的威胁,趋势客户可以访问Trend Vision One™威胁洞察,提供趋势研究关于新兴威胁和威胁行为者的最新洞察。
Trend Vision One威胁洞察
- Emerging Threats: New Campaign Targets Cisco Switches with SNMP and Telnet Exploits
Trend Vision One情报报告(IOC扫描)
- New Campaign Targets Cisco Switches with SNMP and Telnet Exploits
狩猎查询
Trend Vision One搜索应用
Trend Vision One客户可以使用搜索应用匹配或狩猎本文提到的恶意指标与其环境中的数据。
|
|
危害指标(IoCs)
危害指标可在此处找到。
由Joey Chen、Cisco TALOS团队贡献