Selon Trend Micro (Trend Research), l’opération « Operation Zero Disco » exploite la vulnérabilité Cisco SNMP CVE-2025-20352 pour implanter un rootkit Linux dans l’espace mémoire d’IOSd sur des équipements réseau. La campagne vise des systèmes Linux plus anciens sans EDR, notamment les Cisco 9400, 9300 et 3750G. Les attaquants utilisent des IPs usurpées et des backdoors fileless avec des mots de passe universels contenant « disco ». Le rootkit permet la RCE, le bypass des ACL VTY, la manipulation des journaux et la dissimulation de configuration. Une tentative d’exploitation d’une variante de la faille Telnet CVE-2017-3881 est également rapportée, tandis que l’ASLR offre une protection partielle sur les modèles plus récents.
Côté technique, l’exploitation via SNMP permet d’installer des hooks dans la mémoire IOSd, et de créer un listener UDP (port arbitraire) acceptant des commandes pour configurer la backdoor. Le malware fournit un bypass d’authentification (AAA et logins locaux) via un mot de passe universel, cache des comptes et scripts EEM dans la running-config, désactive la persistance des logs (taille à zéro) et réinitialise les horodatages de configuration. Des exploits 32-bit et 64-bit sont utilisés; la variante 64-bit requiert un accès Guest Shell avec privilèges niveau 15.
Les scénarios d’attaque incluent la manipulation du routage VLAN et l’ARP spoofing via des binaires ELF Linux. Les équipements principalement impactés sont les Cisco Catalyst 9400/9300 et l’ancienne 3750G, avec une exposition accrue sur les systèmes dépourvus d’EDR. L’ASLR sur les modèles plus récents réduit partiellement la fiabilité des exploits.
IOCs observables (extraits de l’étude) :
- Comptes masqués dans la configuration : dg3y8dpk à dg7y8hpk
- Scripts EEM masqués : CiscoEMX-1 à CiscoEMX-5
- Mot de passe universel contenant la chaîne : “disco”
- Listener UDP créé par le rootkit (port variable)
TTPs clés :
- Exploitation de CVE-2025-20352 (SNMP) pour déposer un rootkit et injecter des hooks en mémoire IOSd
- Tentative d’exploitation d’une variante de CVE-2017-3881 (Telnet) pour l’accès mémoire
- Backdoor fileless, bypass AAA/local, bypass ACL VTY, manipulation/effacement des logs, cachage d’éléments de configuration, reset des timestamps
- Utilisation d’exploits 32/64-bit (avec exigence Guest Shell lvl 15 pour 64-bit)
- Manipulation de VLAN et ARP spoofing via ELF Linux
Il s’agit d’une analyse de menace visant à documenter une campagne active, ses vulnérabilités exploitées, ses capacités et ses artefacts observables.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation de CVE-2025-20352 (SNMP) pour déposer un rootkit et injecter des hooks en mémoire IOSd’, ‘Tentative d’exploitation d’une variante de CVE-2017-3881 (Telnet) pour l’accès mémoire’, ‘Backdoor fileless’, ‘Bypass AAA/local’, ‘Bypass ACL VTY’, ‘Manipulation/effacement des logs’, ‘Cachage d’éléments de configuration’, ‘Reset des timestamps’, ‘Utilisation d’exploits 32/64-bit (avec exigence Guest Shell lvl 15 pour 64-bit)’, ‘Manipulation de VLAN’, ‘ARP spoofing via ELF Linux’]
IOCs
[‘Comptes masqués dans la configuration : dg3y8dpk à dg7y8hpk’, ‘Scripts EEM masqués : CiscoEMX-1 à CiscoEMX-5’, ‘Mot de passe universel contenant la chaîne : “disco”’, ‘Listener UDP créé par le rootkit (port variable)’]
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html