Operation Zero Disco: CVE-2025-20352 в SNMP Cisco, удаленное выполнение кода

Кампания атак, известная как Operation Zero Disco, использует критическую уязвимость в протоколе простого сетевого управления — SNMP, обозначенную как CVE-2025-20352. Эксплуатация этой уязвимости позволяет злоумышленникам удалённо выполнять код и устанавливать руткиты на уязвимые устройства Cisco, в том числе серии 9400, 9300 и устаревшие 3750G. Это даёт атакующим расширенный контроль над сетевой инфраструктурой и серьёзно увеличивает риск масштабного инцидента безопасности.

Ключевые факты

• Уязвимость: CVE-2025-20352 в SNMP, допускающая удалённое выполнение кода.
• Цели: устройства Cisco 9400, 9300 и 3750G.
• Последствия: установка руткитов, сохранение постоянного доступа, уклонение от обнаружения и манипуляции сетевым трафиком.
• Техника атаки: использование Linux-эксплойтов (ELF) для 32- и 64‑битных архитектур и подмена arp в гостевой оболочке Cisco.

Как работает эксплойт

Расследование показало, что злоумышленники используют несколько эксплойтов на базе Linux, нацеленных на 32‑ и 64‑битные архитектуры. В качестве одного из инструментов применялся двоичный файл ELF, который выполнялся в среде гостевой оболочки Cisco и облегчал подмену arp. В результате успешного развертывания руткита после использования CVE-2025-20352 злоумышленники получают удалённый контроль над скомпрометированным устройством.

«Как только руткит успешно развертывается после использования CVE-2025-20352, злоумышленники получают удалённый контроль над скомпрометированным устройством.»

Почему это опасно

Удалённый контроль над сетевым оборудованием даёт атакующим ряд критических преимуществ:

• Возможность подключения нескольких виртуальных сетей и организация бокового перемещения внутри компании.
• Использование скомпрометированного оборудования как платформы для дальнейших атак на другие устройства.
• Поддержание постоянного доступа и уклонение от обнаружения за счёт встроенного руткита.
• Манипуляция сетевым трафиком (перенаправление, прослушивание, изменение пакетов), что затрудняет обнаружение и расследование инцидента.

Технические рекомендации по снижению риска

Организациям, использующим устройства Cisco из перечисленных серий, рекомендуется срочно принять следующие меры:

• Проверить наличие официальных обновлений и патчей от Cisco и установить их на всех уязвимых устройствах.
• Отключить или ограничить доступ к SNMP там, где он не требуется; использовать безопасные альтернативы и ограничить управление по IP‑спискам.
• Изолировать управление сетевыми устройствами в отдельной зоне управления (management VLAN) с жёстким доступом.
• Проводить мониторинг целостности файловой системы устройств и искать аномальные ELF‑бинарники или изменения в ядре/прошивке.
• Активировать и анализировать журналы систем управления, сетевого контроля и IDS/IPS на предмет признаков подмены arp, необычных подключений и создания виртуальных сетей.
• Проводить аудиты конфигураций и проверки на наличие неизвестных загрузочных модулей или руткитов.
• Ограничить права доступа администраторам и регулярно менять учётные данные и ключи доступа к управлению сетью.
• При обнаружении компрометации — изолировать устройство, провести форензик-анализ и восстановление из проверенной резервной копии после устранения уязвимости.

Вывод

Operation Zero Disco демонстрирует, насколько опасными могут быть уязвимости в управляющих протоколах сетевого оборудования. CVE-2025-20352 позволяет атакующим получить стойкий контроль над коммутаторами Cisco и расширять доступ внутри корпоративной сети. Ключевыми мерами защиты остаются своевременное применение патчей, ограничение доступа к management‑интерфейсам, мониторинг аномалий и готовность к оперативному реагированию на инциденты.

Рекомендация: проверить наличие уязвимых устройств в инфраструктуре и незамедлительно реализовать перечисленные меры по защите и мониторингу.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.