Investigadores de ciberseguridad han revelado detalles de una nueva campaña que aprovechó una falla de seguridad recientemente revelada que afecta al software Cisco IOS y al software IOS XE para implementar rootkits de Linux en sistemas más antiguos y desprotegidos.
La actividad, cuyo nombre en clave Operación Cero Disco por Trend Micro, implica la militarización de CVE-2025-20352 (Puntuación CVSS: 7,7), una vulnerabilidad de desbordamiento de pila en el subsistema del Protocolo simple de administración de red (SNMP) que podría permitir que un atacante remoto autenticado ejecute código arbitrario enviando paquetes SNMP manipulados a un dispositivo susceptible. Las intrusiones no se han atribuido a ningún actor o grupo de amenazas conocido.
Cisco solucionó la deficiencia a fines del mes pasado, pero no antes de que fuera explotada como un día cero en ataques del mundo real.
«La operación afectó principalmente a los dispositivos de las series Cisco 9400, 9300 y 3750G heredados, con intentos adicionales de explotar una vulnerabilidad Telnet modificada (basada en CVE-2017-3881) para permitir el acceso a la memoria», investigadores Dove Chiu y Lucien Chuang dicho.
La compañía de ciberseguridad también señaló que los rootkits permitieron a los atacantes lograr la ejecución remota de código y obtener acceso no autorizado persistente estableciendo contraseñas universales e instalando enlaces en el demonio Cisco IOS (IOSd) espacio de memoria. IOSd se ejecuta como un proceso de software dentro del kernel de Linux.
Otro aspecto notable de los ataques es que señalaron a las víctimas que ejecutaban sistemas Linux más antiguos que no tenían habilitadas las soluciones de respuesta de detección de endpoints, lo que hacía posible implementar los rootkits para pasar desapercibidos. Además, se dice que el adversario utilizó IP y direcciones de correo electrónico de Mac falsificadas en sus intrusiones.
El rootkit se controla mediante un componente de controlador UDP que puede servir como escucha de paquetes UDP entrantes en cualquier puerto, alternar o deshabilitar el historial de registro, crear una contraseña universal modificando la memoria IOSd, omitir la autenticación AAA, ocultar ciertas partes de la configuración en ejecución y ocultar los cambios realizados en la configuración alterando la marca de tiempo para dar la impresión de que nunca se modificó.
Además de CVE-2025-20352, también se ha observado que los actores de amenazas intentan explotar una vulnerabilidad Telnet que es una versión modificada de CVE-2017-3881 para permitir la lectura/escritura de memoria en direcciones arbitrarias. Sin embargo, la naturaleza exacta de la funcionalidad aún no está clara.
El nombre «Zero Disco» es una referencia al hecho de que el rootkit implantado establece una contraseña universal que incluye la palabra «disco», un cambio de una letra de «Cisco».
«El malware luego instala varios ganchos en el IOSd, lo que hace que los componentes sin archivos desaparezcan después de reiniciar», señalaron los investigadores. «Los modelos de conmutadores más nuevos brindan cierta protección a través de la aleatorización del diseño del espacio de direcciones (ASLR), que reduce la tasa de éxito de los intentos de intrusión; sin embargo, debe tenerse en cuenta que los intentos repetidos aún pueden tener éxito».
Fuente