Hackers exploram a vulnerabilidade do Cisco SNMP para implantar rootkits

Pesquisadores trouxeram a público detalhes alarmantes de uma nova e sofisticada campanha de ataques que explorou uma vulnerabilidade de segurança recentemente divulgada no Cisco IOS Software e no IOS XE Software. O objetivo era implantar rootkits Linux em sistemas mais antigos e desprotegidos.

A operação, batizada de "Zero Disco" pela empresa de segurança Trend Micro, envolveu a exploração da vulnerabilidade CVE-2025-20352 (classificada com pontuação CVSS: 7.7), um estouro de pilha no subsistema SNMP (Simple Network Management Protocol). Essa falha permitia que um invasor remoto autenticado executasse código arbitrário no dispositivo alvo simplesmente enviando pacotes SNMP especialmente formatados. Até o momento, as intrusões não foram formalmente atribuídas a nenhum hacker ou grupo específico.

A Cisco agiu e corrigiu a falha no final do mês passado, mas não antes de ela ser utilizada como uma vulnerabilidade de dia zero em ataques reais. Segundo os pesquisadores Dove Chiu e Lucien Chuang, a ofensiva atingiu principalmente dispositivos legados, como os modelos Cisco 9400, 9300 e a série 3750G. Houve também tentativas adicionais de explorar uma vulnerabilidade Telnet modificada (baseada na CVE-2017-3881) para obter acesso à memória.

A Trend Micro detalhou que os rootkits instalados permitiam aos hackers executar comandos remotamente e manter acesso não autorizado persistente. Isso era alcançado através da definição de senhas universais e da instalação de "ganchos" no espaço de memória do daemon Cisco IOS (IOSd), um processo de software que roda dentro do kernel Linux.

Um aspecto notável desta campanha é a escolha das vítimas: sistemas Linux mais antigos, frequentemente desprovidos de soluções modernas de detecção e resposta de endpoints (EDR). Tal cenário facilitou a implantação furtiva dos rootkits. Além disso, o invasor utilizou IPs e endereços MAC falsificados nas suas invasões.

Não se limitando à CVE-2025-20352, os hackers também tentaram explorar uma falha no Telnet que seria uma versão modificada da CVE-2017-3881, buscando obter funcionalidades de leitura/escrita de memória em endereços arbitrários. No entanto, a extensão exata e a funcionalidade completa dessa exploração alternativa ainda estão sob investigação.

O codinome "Zero Disco" é uma referência direta ao fato de que o rootkit implantado define uma senha universal que intencionalmente inclui a palavra "disco", uma alteração sutil da marca "Cisco". Os pesquisadores observaram que, apesar dos modelos de switch mais novos oferecerem alguma proteção via Randomização do Layout do Espaço de Endereço (ASLR), o que reduz a taxa de sucesso das intrusões, tentativas repetidas ainda podem, eventualmente, ser bem-sucedidas.

O malware, ao instalar os ganchos no IOSd, garante que os componentes sem arquivo desapareçam após uma reinicialização do sistema, dificultando a detecção e a resposta.

Via - THN