Los actores de amenazas han aprovechado una vulnerabilidad de IOS/IOS XE recientemente parcheada (CVE-2025-20352) para implementar rootkits de Linux en dispositivos de red Cisco vulnerables.
“La operación estaba dirigida a víctimas que ejecutaban sistemas Linux más antiguos que no contaban con soluciones de respuesta de detección de endpoints”, compartieron los investigadores de Trend Micro.
Una vez implantado un rootkit, establecía una contraseña universal (que contenía la palabra “disco”) e instalaba varios ganchos en el espacio de memoria IOSd (proceso), para hacer que los componentes sin archivos desaparecieran después de un reinicio.
Acerca de CVE-2025-20352
A fines de septiembre de 2025, Cisco corrigió una vulnerabilidad de IOS/IOS XE (CVE-2025-20352) explotada por atacantes en ataques de día cero, pero no compartió detalles adicionales sobre los ataques.
CVE-2025-20352, una vulnerabilidad de desbordamiento de pila en el subsistema del Protocolo simple de administración de red (SNMP) del software Cisco IOS e IOS XE, podría conducir a una condición de denegación de servicio (DoS) o a la ejecución remota de código, y esta última solo si el atacante ya tenía privilegios elevados en un dispositivo vulnerable.
“Un atacante podría explotar esta vulnerabilidad enviando un paquete SNMP diseñado a un dispositivo afectado a través de redes IPv4 o IPv6”, señaló Cisco, y compartió que los atacantes pudieron obtener credenciales de administrador local válidas y usarlas para lograr la ejecución remota de código.
Hallazgos de los investigadores
Trend Micro descubrió que los atacantes explotaron la falla en los dispositivos Cisco de las series 9400, 9300 y 3750G anteriores.
Utilizaron varios exploits y atacaron plataformas de 32 y 64 bits. También intentaron explotar una versión modificada de una antigua vulnerabilidad de Telnet (CVE-2017-3881) para leer y escribir en memoria en direcciones arbitrarias.
Los investigadores descubrieron varios exploits utilizados por los atacantes. Uno se utilizó para instalar el rootkit de Linux y otro para detener el registro de rastreo en el dispositivo objetivo.
“La investigación de tendencias también encontró un componente controlador UDP utilizado para controlar el rootkit y una herramienta de suplantación de ARP en un conmutador Cisco”, compartieron los investigadores .
“El controlador UDP proporciona varias funciones de administración potentes: puede activar o desactivar el historial de registros o eliminar registros de registros por completo; omitir la autenticación AAA y las listas de control de acceso VTY; habilitar o deshabilitar una contraseña universal; ocultar partes de la configuración en ejecución; y restablecer la marca de tiempo de la última escritura de configuración en ejecución para que parezca que la configuración nunca se modificó”.
La herramienta de falsificación ARP se puede utilizar para hacer que el tráfico destinado al dispositivo de red se envíe primero al atacante.
¿Qué hacer?
Cisco ha recomendado a sus clientes que utilicen Cisco Software Checker o un formulario en el aviso de seguridad CVE-2025-20352 para verificar si sus dispositivos están ejecutando una versión afectada y actualizarlos si es así.
Trend Micro ha compartido indicadores de compromiso relacionados con estos ataques, pero también señaló que no existe una herramienta automatizada universal que pueda usarse para determinar si un conmutador Cisco ha sido comprometido con éxito por la operación ZeroDisco (como la llaman).
«Si sospecha que un conmutador está afectado, le recomendamos ponerse en contacto con Cisco TAC de inmediato y solicitar al proveedor que lo ayude con una investigación de bajo nivel de las regiones de firmware/ROM/arranque», aconsejaron los investigadores.
Si bien los dispositivos atacados pueden ser antiguos, los exploits también pueden funcionar en los más nuevos.
“Los modelos de conmutadores más nuevos brindan cierta protección a través de la aleatorización del diseño del espacio de direcciones (ASLR), lo que reduce la tasa de éxito de los intentos de intrusión; sin embargo, debe tenerse en cuenta que los intentos repetidos aún pueden tener éxito”, agregaron los investigadores.
Fuente y redacción: helpnetsecurity.com / Zeljka Zorz