Operation Zero Disco: Exploitation of Cisco SNMP Vulnerability for Rootkit Deployment
Post author: Padmashree P
Post published: October 16, 2025
Reading time: 6 mins read
概述
网络犯罪分子和高级持续性威胁(APT)行为者持续向持久化驱动、隐蔽中心的操作演进,利用零日和已知漏洞破坏关键基础设施。最近最令人担忧的案例之一是Operation Zero Disco,这是一个高影响力活动,利用Cisco IOS XE中的高危漏洞CVE-2025-20352,在核心交换机上部署无文件Linux rootkit。该活动还被观察到尝试利用CVE-2017-3881的修改变体(一个先前披露的Telnet漏洞)攻击传统设备。
该活动由Trend Micro发现,主要影响缺乏现代防御机制的老旧Cisco交换机型号,如3750G系列。攻击者旨在建立长期、低噪声的访问,实现跨分段VLAN的间谍活动、横向移动和流量操纵。
Operation Zero Disco背景
Operation Zero Disco是一个针对Cisco交换机的复杂网络攻击活动,主要利用SNMP(简单网络管理协议)和Telnet服务中的漏洞。该活动的显著特点包括:
- 同时针对32位和64位Cisco平台,包括传统型号如3750G
- 安装无文件rootkit,提供持久、隐蔽的访问
- 绕过认证和日志记录机制,使检测极其困难
- 使用基于UDP的控制器隐蔽管理受感染设备
攻击者似乎技术高超,利用了深入的Cisco内部知识和内存结构知识。该活动可能是更广泛的犯罪或国家支持的间谍或破坏行动的一部分。
漏洞详情
CVE-2025-20352
- CVSS评分: 7.7(高)
- EPSS: 0.57%
- 漏洞类型: 远程代码执行
- 受影响系统: Cisco IOS XE(32位和64位),特别是型号:9400、9300、3750G
CVE-2017-3881
- CVSS评分: 10.0(严重)
- EPSS: 94.02%
- 漏洞类型: 远程代码执行
- 受影响系统: Cisco IOS和IOS XE软件
影响
Operation Zero Disco的影响范围广泛,特别是在传统Cisco交换机作为核心网络基础设施的环境中。具体风险包括:
- 持久未授权访问: 攻击者通过内存驻留rootkit保持长期访问
- 网络分段绕过: VLAN操纵允许威胁行为者跨越网络边界
- 隐蔽侦察和间谍活动: 日志操纵和内存执行提供近乎不可见的操作掩护
- 流量劫持和ARP欺骗: 在内部网络内实现数据拦截和重定向
- 安全工具规避: 无文件执行绕过大多数基于签名的AV/EDR工具
感染方法
1. 通过SNMP漏洞利用的初始访问
- 攻击者利用CVE-2025-20352利用SNMP服务
- SNMP服务通常以默认"public" community字符串暴露,使其成为容易的入口点
- 恶意SNMP数据包发送到设备,每个携带shell命令的片段(由于SNMP负载大小限制)
- 示例:捕获的数据包包含命令
$(ps -a - 完整命令从多个数据包重建
2. Rootkit部署
在32位设备上(如3750G):
- SNMP漏洞利用允许远程代码执行(RCE)
- 安装Linux rootkit以维持持久性和规避检测
在64位设备上(如9300/9400):
- 需要级别15权限访问guest shell
- 进入后,攻击者使用通用密码(包含"disco")获取访问权限
- 通过guest shell部署无文件rootkit
3. 高级漏洞利用
日志记录绕过:
- SNMP漏洞利用的变体可以禁用跟踪日志记录,无需使用mmap
- 仅需少量内存地址即可实现RCE
Telnet漏洞利用:
- 使用CVE-2017-3881的修改版本允许任意内存读/写
- 完整功能仍在调查中
4. 后渗透控制
- 部署基于UDP的控制器来管理rootkit
- 控制器可以:
- 切换或删除日志
- 绕过AAA认证和VTY ACL
- 启用/禁用通用密码
- 隐藏配置更改(如账户、ACL、EEM脚本)
- 重置配置时间戳以隐藏修改
5. 横向移动
- 攻击者使用ARP欺骗冒充受信任设备(如waystations)
- 这允许他们绕过内部防火墙并在VLAN间横向移动
- ARP欺骗工具是通过guest shell执行的Linux ELF二进制文件
恶意软件能力
- 通用密码注入: 挂钩低级认证以允许跨所有登录方法的访问
- 日志操纵: 可以禁用或删除日志,使检测困难
- 配置隐藏: 从running-config中隐藏特定ACL、账户和脚本
- VTY ACL绕过: 忽略虚拟终端线路上的访问控制列表
- UDP控制器: 用于远程管理rootkit,即使没有开放端口
战术、技术与程序(TTPs)
Operation Zero Disco与MITRE ATT&CK框架紧密对应,展示了从初始访问到隐蔽命令与控制的完整入侵链:
- TA0001 – 初始访问: 利用SNMP漏洞进行RCE
- TA0002 – 执行: 通过SNMP守护进程中的缓冲区溢出执行任意代码
- TA0003 – 持久性: 无文件rootkit修改IOSd内存;设置包含"disco"一词的通用密码
- TA0005 – 防御规避: 攻击者禁用日志记录、隐藏配置更改、绕过AAA和VTY ACL
- TA0008 – 横向移动: VLAN路由操纵和ARP欺骗在网络上横向移动
- TA0011 – 命令与控制: 使用基于UDP的控制器,无需显式开放端口
入侵指标(IoCs)
- 隐藏账户: 如dg3y8dpk、dg4y8epk等
- 隐藏ACL: 如EnaQWklg0、EnaQWklg1
- EEM脚本: CiscoEMX-1到CiscoEMX-5
- 可疑UDP负载: 用于rootkit控制
- ARP欺骗工具: 在guest shell中运行的ELF二进制文件
缓解措施
为防御Operation Zero Disco,安全团队应立即采取行动:
-
修补所有受影响设备 立即应用Cisco针对CVE-2025-20352的补丁。检查PSIRT公告获取固件更新
-
限制SNMP访问 将SNMP限制为安全、认证的community字符串,并仅允许来自受信任管理子网的访问
-
分段传统设备 隔离无法立即修补的传统交换机,并密切监控异常
-
审计网络配置 检查核心交换机上的意外路由规则、ACL更改或隐藏配置段
-
联系Cisco TAC进行固件完整性检查 Cisco TAC可协助进行交换机内存和持久性更改的取证检查
-
部署威胁检测和虚拟修补 使用Trend Micro Cloud One Network Security和Deep Discovery Inspector检测SNMP异常并应用虚拟补丁
使用Saner补丁管理即时修复风险
Saner补丁管理是一个持续、自动化、集成的软件,可即时修复在野外被利用的风险。该软件支持主要操作系统如Windows、Linux和macOS,以及550多个第三方应用程序。
它还允许您设置安全测试区域,在主生产环境中部署补丁前进行测试。Saner补丁管理还支持在补丁失败或系统故障时的补丁回滚功能。