Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe campagne die misbruik maakte van een onlangs onthuld beveiligingslek dat gevolgen had voor Cisco IOS Software en IOS XE Software om Linux-rootkits op oudere, onbeschermde systemen te implementeren.
De activiteit, met codenaam Operatie Zero Disco van Trend Micro omvat de bewapening van CVE-2025-20352 (CVSS-score: 7,7), een stack-overflow-kwetsbaarheid in het Simple Network Management Protocol (SNMP)-subsysteem waarmee een geauthenticeerde, externe aanvaller willekeurige code kan uitvoeren door vervaardigde SNMP-pakketten naar een gevoelig apparaat te sturen. De inbraken zijn niet toegeschreven aan bekende dreigingsactoren of -groepen.
De tekortkoming werd eind vorige maand door Cisco verholpen, maar niet voordat het werd uitgebuit als een zero-day-aanval in de echte wereld.
“De operatie had vooral gevolgen voor apparaten uit de Cisco 9400-, 9300- en oudere 3750G-serie, met aanvullende pogingen om een gewijzigde Telnet-kwetsbaarheid (gebaseerd op CVE-2017-3881) te misbruiken om geheugentoegang mogelijk te maken”, aldus onderzoekers Dove Chiu en Lucien Chuang.
Het cyberbeveiligingsbedrijf merkte ook op dat de rootkits aanvallers in staat stelden code op afstand uit te voeren en aanhoudende ongeautoriseerde toegang te verkrijgen door universele wachtwoorden in te stellen en hooks te installeren in de geheugenruimte van de Cisco IOS daemon (IOSd). IOSd wordt uitgevoerd als een softwareproces binnen de Linux-kernel.
Een ander opmerkelijk aspect van de aanvallen is dat ze slachtoffers hebben uitgekozen die oudere Linux-systemen gebruiken waarop geen eindpuntdetectieresponsoplossingen zijn ingeschakeld, waardoor het mogelijk wordt om de rootkits in te zetten om onder de radar te blijven. Bovendien zou de tegenstander vervalste IP’s en Mac-e-mailadressen hebben gebruikt bij zijn inbraken.
Naast CVE-2025-20352 is ook waargenomen dat de dreigingsactoren proberen misbruik te maken van een kwetsbaarheid in Telnet, een aangepaste versie van CVE-2017-3881, om het lezen/schrijven van geheugen op willekeurige adressen mogelijk te maken. De exacte aard van de functionaliteit blijft echter onduidelijk.
De naam “Zero Disco” verwijst naar het feit dat de geïmplanteerde rootkit een universeel wachtwoord instelt dat het woord “disco” bevat – een verandering van één letter ten opzichte van “Cisco”.
“De malware installeert vervolgens verschillende hooks op de IOSd, waardoor bestandsloze componenten verdwijnen na een herstart”, merkten de onderzoekers op. “Nieuwere switchmodellen bieden enige bescherming via Address Space Layout Randomization (ASLR), wat het succespercentage van inbraakpogingen vermindert; er moet echter worden opgemerkt dat herhaalde pogingen nog steeds kunnen slagen.”
