Tin tặc triển khai Rootkit Linux qua lỗ hổng SNMP của Cisco trong Zero Disco

[Starlink]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một chiến dịch mới khai thác lỗ hổng bảo mật mới được tiết lộ gần đây ảnh hưởng đến Cisco IOS Software và IOS XE Software để triển khai rootkit Linux trên các hệ thống cũ hơn, không được bảo vệ.

Hoạt động này, được Trend Micro đặt tên mã là Operation Zero Disco, liên quan đến việc vũ khí hóa CVE-2025-20352 (điểm CVSS: 7,7), một lỗ hổng tràn ngăn xếp trong hệ thống con Giao thức Quản lý Mạng Đơn giản (SNMP), có thể cho phép kẻ tấn công từ xa đã được xác thực thực thi mã tùy ý bằng cách gửi các gói SNMP được tạo sẵn đến một thiết bị dễ bị tấn công. Các cuộc xâm nhập này chưa được xác định là do bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết.

Cisco đã vá lỗi này vào cuối tháng trước, nhưng trước đó nó đã bị khai thác như một lỗ hổng zero-day trong các cuộc tấn công thực tế.

Các nhà nghiên cứu Dove Chiu và Lucien Chuang cho biết : "Hoạt động này chủ yếu ảnh hưởng đến các thiết bị Cisco 9400, 9300 và dòng 3750G cũ, cùng với các nỗ lực khai thác lỗ hổng Telnet đã sửa đổi (dựa trên CVE-2017-3881 ) để cho phép truy cập bộ nhớ".

Công ty an ninh mạng này cũng lưu ý rằng rootkit cho phép kẻ tấn công thực thi mã từ xa và truy cập trái phép liên tục bằng cách đặt mật khẩu chung và cài đặt các hook vào không gian bộ nhớ Cisco IOS daemon ( IOSd ). IOSd được chạy như một quy trình phần mềm trong nhân Linux.

Một khía cạnh đáng chú ý khác của các cuộc tấn công là chúng nhắm vào các nạn nhân đang chạy hệ thống Linux cũ không bật giải pháp phản hồi phát hiện điểm cuối, tạo điều kiện cho việc triển khai rootkit để hoạt động bí mật. Ngoài ra, kẻ tấn công được cho là đã sử dụng IP giả mạo và địa chỉ email Mac trong các cuộc xâm nhập.

Rootkit được điều khiển thông qua một thành phần điều khiển UDP có thể đóng vai trò là trình lắng nghe các gói UDP đến trên bất kỳ cổng nào, bật hoặc tắt lịch sử nhật ký, tạo mật khẩu chung bằng cách sửa đổi bộ nhớ IOSd, bỏ qua xác thực AAA, ẩn một số phần của cấu hình đang chạy và ẩn các thay đổi được thực hiện đối với cấu hình bằng cách thay đổi dấu thời gian để tạo ấn tượng rằng cấu hình chưa bao giờ bị sửa đổi.

Bên cạnh CVE-2025-20352, các tác nhân đe dọa cũng được phát hiện đang cố gắng khai thác lỗ hổng Telnet, một phiên bản sửa đổi của CVE-2017-3881, để cho phép đọc/ghi bộ nhớ tại các địa chỉ tùy ý. Tuy nhiên, bản chất chính xác của chức năng này vẫn chưa rõ ràng.

Cái tên "Zero Disco" ám chỉ đến thực tế là rootkit được cấy ghép sẽ thiết lập một mật khẩu chung có chứa từ "disco" -- chỉ thay đổi một chữ cái từ "Cisco".

"Phần mềm độc hại sau đó cài đặt một số hook vào IOSd, khiến các thành phần không có tệp tin bị mất sau khi khởi động lại", các nhà nghiên cứu lưu ý. "Các mô hình chuyển mạch mới hơn cung cấp một số biện pháp bảo vệ thông qua Ngẫu nhiên hóa Bố cục Không gian Địa chỉ (ASLR), giúp giảm tỷ lệ thành công của các nỗ lực xâm nhập; tuy nhiên, cần lưu ý rằng các nỗ lực lặp lại vẫn có thể thành công."