Sió-Informatika Rendszerház

HÍREK

Támadók kihasználják a Cisco SNMP sebezhetőséget Linux rootkitek telepítésére

Cisco SNMP sérülékenység rootkit

A Trend Micro kutatói felfedték az „Operation Zero Disco” fedőnevű, fejlett kibertámadási kampány részleteit, amely a Cisco IOS és IOS XE rendszereket érintő, frissen nyilvánosságra hozott SNMP-sérülékenységet (CVE-2025-20352) használja ki.


A támadók a hibát Linux-alapú rootkitek telepítésére használják elavult vagy védelem nélküli hálózati eszközökön, ezzel tartós és rejtett hozzáférést szerezve vállalati környezetekben.

🔍 A sebezhetőség: CVE-2025-20352

A CVE-2025-20352 sebezhetőség a Simple Network Management Protocol (SNMP) alrendszert érinti a Cisco IOS és IOS XE platformokon.
A CVSS-pontszám 7,7, ami magas kockázati szintet jelez.

Lényege:
egy stack overflow hiba lép fel, amikor a támadó speciálisan formázott SNMP-csomagokat küld egy sérülékeny eszközre.
Ha a támadónak van hálózati hozzáférése és alacsony szintű SNMP-jogosultsága,
DoS-támadást indíthat,
vagy root jogosultságot szerezhet tetszőleges kódfuttatással.

A Cisco PSIRT szerint a hibát már aktívan kihasználják, tehát a támadások a nyilvános közzététel után szinte azonnal megindultak.

🧠 Célpontok és taktika – „Operation Zero Disco”

A Trend Micro elemzése szerint a kampány elsősorban az alábbi, régebbi Cisco-modelleket célozza:

  • Catalyst 9400,
  • Catalyst 9300,
  • 3750G (legacy sorozat).

A támadók a CVE-2025-20352 kihasználása mellett a korábbi CVE-2017-3881 Telnet-hibát is módosított formában használják a memóriához való hozzáférésre.
E kettőt összefűzve rootkiteket telepítenek olyan eszközökre, ahol nincs modern EDR-védelem.

A rootkit:

  • adminisztratív jelszóval és „disco” kódszót tartalmazó hátsó ajtóval lép működésbe,
  • elrejti magát az IOS daemonban (IOSd),
  • újrindítás után is megőrzi a hozzáférést,
  • eltünteti a naplókat, módosítja az időbélyegeket, és
  • láthatatlanná teszi a manipulált felhasználói fiókokat, ACL-eket és EEM-szkripteket.

A kutatók szerint a „disco” jelszó szójáték – egyszerre utalás a Cisco-ra és a kampány kódnevére.

🧩 A támadási lánc

1️⃣ Belépési pont: SNMP szolgáltatások, gyakran alapértelmezett „public” vagy „private” közösségi kulccsal.
2️⃣ Továbblépés: Telnet exploit vagy SNMP buffer overflow kombinációjával memóriához férnek.
3️⃣ Rootkit telepítés: Linux-alapú kernelkomponensek beágyazása a rendszerfolyamatokba.
4️⃣ Rejtett perzisztencia: fájlmentes (fileless) backdoor, log-törlés, hamis konfigurációk.
5️⃣ Hálózati manipuláció: UDP-controller + ARP-spoofing a belső forgalom átírására.

A támadók ezzel láthatatlanul mozognak a vállalati infrastruktúrában, új útvonalakat hoznak létre VLAN-okon keresztül, majd a konfigurációkat helyreállítják, mintha semmi sem történt volna.

⚙️ Technikai részletek és fejlettség

A Trend Micro forenzikus elemzése során több 32- és 64-bites exploit-változatot azonosított.
A támadók rendkívül technikailag érettek,
mert:

  • kihasználják az ASLR-t megkerülő brute-force payload-teszteket,
  • folyamatosan módosítják a shell-szintű parancsokat,
  • UDP-alapú vezérlőcsatornát építenek ki tetszőleges portokon,
  • valamint fileless backdoorokat injektálnak SNMP-válaszokon keresztül.

🧱 Miért különösen veszélyes?

  • Az SNMP szinte minden vállalati hálózati eszközön engedélyezett.
  • Az érintett IOS-verziók sok helyen életciklusuk végén járnak.
  • A legtöbb szervezet nem monitorozza ezeket az eszközöket EDR-rel.
  • A rootkit mély hálózati hozzáférést biztosít, akár hónapokon át észrevétlenül.

🧰 Mit tehetnek a szervezetek?

Cisco & Trend Micro ajánlások
  1. SNMP szolgáltatás kikapcsolása, ha nem feltétlenül szükséges.
  2. Firmware frissítés a Cisco által kiadott legújabb verziókra.
  3. Erős SNMP-hitelesítés: ne használjunk alapértelmezett „public/private” kulcsokat.
  4. Hálózati szegmentáció: kritikus eszközök elszigetelése, csak menedzsment-VLAN-ról elérhetően.
  5. Rendszeres konfiguráció-ellenőrzés: ACL-ek, EEM-szkriptek és logok összevetése baseline-nal.
  6. Rootkit-ellenőrzés: Trend Micro által közzétett IoC-k használata.
  7. Tűzfal-szabályok felülvizsgálata: UDP és SNMP port-forgalom monitorozása.

📄 Hivatkozások

🔗 Indicators of Compromise (IoCs): [Trend Micro – Operation Zero Disco IoCs]
🔗 Teljes jelentés: [Trend Micro Full Report]
🔗 Cisco Advisory: [CVE-2025-20352 – SNMP Stack Overflow]

🧭 Összegzés

Az Operation Zero Disco a hálózati perzisztencia egy új generációját képviseli.
A támadók az infrastruktúra szintjén rejtőznek el – ott, ahol a legtöbb védelem vakfoltos.

Aki elavult Cisco-eszközt üzemeltet, nyitott SNMP-vel vagy régi firmware-rel,
az most kritikus veszélynek van kitéve.

A védekezés kulcsa: gyors frissítés, szegmentáció, és napló-alapú monitorozás.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!