Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một chiến dịch mới khai thác lỗ hổng bảo mật được tiết lộ gần đây ảnh hưởng đến Cisco IOS Software và IOS XE Software để triển khai Linux rootkits trên các hệ thống cũ, không được bảo vệ.
Hoạt động này, được Trend Micro đặt tên mã là Operation Zero Disco, liên quan đến việc vũ khí hóa CVE-2025-20352 (điểm CVSS: 7.7), một lỗ hổng stack overflow trong Simple Network Management Protocol (SNMP) subsystem có thể cho phép kẻ tấn công từ xa, đã xác thực thực thi mã tùy ý bằng cách gửi các gói SNMP được chế tạo đến một thiết bị dễ bị tổn thương. Các vụ xâm nhập này chưa được quy cho bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết.
Lỗ hổng đã được Cisco vá vào cuối tháng trước, nhưng không phải trước khi nó bị khai thác như một zero-day trong các cuộc tấn công thực tế.
"Hoạt động này chủ yếu ảnh hưởng đến các thiết bị dòng Cisco 9400, 9300 và 3750G cũ, với các nỗ lực bổ sung nhằm khai thác một lỗ hổng Telnet đã sửa đổi (dựa trên CVE-2017-3881) để cho phép truy cập bộ nhớ," các nhà nghiên cứu Dove Chiu và Lucien Chuang cho biết.
Công ty an ninh mạng này cũng lưu ý rằng các rootkits cho phép kẻ tấn công đạt được remote code execution và có được quyền truy cập trái phép dai dẳng bằng cách đặt mật khẩu phổ quát và cài đặt các hook vào không gian bộ nhớ của Cisco IOS daemon (IOSd) memory space. IOSd chạy như một tiến trình phần mềm trong Linux kernel.
Một khía cạnh đáng chú ý khác của các cuộc tấn công là chúng nhắm vào các nạn nhân đang chạy các hệ thống Linux cũ không bật giải pháp endpoint detection response, giúp việc triển khai rootkits để hoạt động dưới tầm kiểm soát trở nên khả thi. Ngoài ra, kẻ tấn công được cho là đã sử dụng IP giả mạo và địa chỉ email Mac trong các vụ xâm nhập của chúng.
Bên cạnh CVE-2025-20352, các tác nhân đe dọa cũng được quan sát thấy đang cố gắng khai thác một lỗ hổng Telnet là phiên bản sửa đổi của CVE-2017-3881 để cho phép đọc/ghi bộ nhớ tại các địa chỉ tùy ý. Tuy nhiên, bản chất chính xác của chức năng này vẫn chưa rõ ràng.
Tên "Zero Disco" là một tham chiếu đến việc rootkit được cấy vào đặt một mật khẩu phổ quát bao gồm từ "disco" -- một thay đổi một chữ cái từ "Cisco."
"Phần mềm độc hại sau đó cài đặt một số hook lên IOSd, dẫn đến các thành phần fileless biến mất sau khi khởi động lại," các nhà nghiên cứu lưu ý. "Các mẫu switch mới hơn cung cấp một số bảo vệ thông qua Address Space Layout Randomization (ASLR), giúp giảm tỷ lệ thành công của các nỗ lực xâm nhập; tuy nhiên, cần lưu ý rằng các nỗ lực lặp lại vẫn có thể thành công."
