Pesquisadores da Trend Micro identificaram uma nova campanha que explora a vulnerabilidade CVE-2025-20352, relacionada ao protocolo Simple Network Management Protocol (SNMP) em dispositivos Cisco. Essa falha afeta builds de 32 e 64 bits e permite execução remota de código (RCE).
Os atacantes vêm aproveitando o bug para implantar rootkits em sistemas Linux integrados aos switches Cisco, alterando a memória do IOSd e criando um mecanismo persistente de acesso remoto. O código malicioso define senhas universais — todas contendo o termo “disco” — e insere hooks diretamente na memória, o que possibilita o controle total do equipamento comprometido.
As investigações mostram que as famílias Cisco Catalyst 9400, 9300 e 3750G são as mais afetadas. Enquanto os modelos mais recentes contam com Address Space Layout Randomization (ASLR), que reduz o sucesso da exploração, múltiplas tentativas ainda podem resultar em invasões bem-sucedidas.
Além disso, houve tentativas de explorar uma vulnerabilidade modificada de Telnet (baseada na CVE-2017-3881) para permitir leitura e escrita direta na memória — uma técnica que amplia o impacto da operação.
O modus operandi da operação “ZeroDisco”
Batizada informalmente de “ZeroDisco”, a campanha tem como alvo sistemas Linux antigos sem soluções EDR (Endpoint Detection and Response). Nesses ambientes, os invasores conseguem implantar rootkits projetados para ocultar processos e arquivos, dificultando a investigação das equipes de segurança (blue teams).
Após comprometer o dispositivo, o malware realiza diversas ações críticas:
-
Cria uma senha universal modificando a memória do IOSd, válida em múltiplos métodos de autenticação (AAA, login local, enable password etc.);
-
Oculta contas, ACLs e scripts da configuração em execução, impedindo que administradores percebam alterações;
-
Permite bypass de ACLs VTY, abrindo portas para acesso remoto não autorizado via Telnet ou SSH;
-
Apaga ou desativa logs, zerando o histórico de eventos e mascarando rastros;
-
Reseta o timestamp da running-config, fazendo parecer que o dispositivo nunca foi modificado.
O rootkit também inclui um controlador UDP que atua como canal de comando e controle (C2). Esse componente permite ao atacante ativar funções do backdoor, alterar parâmetros de log, ocultar partes da configuração e até desabilitar temporariamente autenticações. Curiosamente, o canal UDP não depende de portas abertas — ele responde a pacotes destinados a qualquer IP do dispositivo, o que torna a detecção ainda mais difícil.
Durante a análise, a Trend Micro também encontrou endereços IP e e-mails falsificados usados na disseminação da campanha, reforçando o nível de sofisticação da operação.
Cadeia de ataque e movimentação lateral
Em um ambiente corporativo simulado pela Trend Micro, o ataque começa com o uso indevido do SNMP configurado com comunidade “public” — algo ainda comum em redes legadas. Uma vez explorada a vulnerabilidade, o invasor obtém acesso privilegiado a um switch core, podendo manipular rotas e VLANs.
Para expandir o ataque, o criminoso imita o endereço IP de uma estação confiável (“waystation”) e, com isso, bypassa o firewall interno. Esse processo envolve:
-
Desativar os logs do switch para eliminar rastros;
-
Assumir o IP da estação confiável na interface conectada à zona protegida;
-
Executar ARP spoofing para redirecionar o tráfego e isolar a estação legítima;
-
Restaurar os logs após encerrar a sessão, simulando um comportamento normal.
Essa movimentação lateral permite que o atacante acesse zonas críticas da rede, conectando VLANs diferentes e executando comandos remotamente. Embora o rootkit perca persistência após um reboot, ele pode ser reinstalado rapidamente caso a vulnerabilidade permaneça exposta.
Impacto e mitigação
Até o momento, a Trend Micro detectou atividades associadas ao “ZeroDisco” em ambientes corporativos com switches Cisco 9400, 9300 e 3750G, sendo este último já descontinuado. A Cisco colaborou com as investigações, fornecendo dados forenses e informações de impacto.
Para as empresas, algumas medidas imediatas são fundamentais:
-
Atualizar firmwares e aplicar os filtros e regras publicados pela Cisco;
-
Verificar SNMP communities e desativar valores padrão como “public”;
-
Monitorar logs de autenticação e configurações anômalas;
-
Isolar dispositivos antigos sem suporte ativo;
-
Solicitar assistência da Cisco TAC para análise de firmware e memória se houver suspeita de comprometimento.
Além disso, recomenda-se segmentar o acesso administrativo e aplicar autenticação multifator em todos os dispositivos de rede, reduzindo a superfície de ataque.
Conclusão
A operação “ZeroDisco” reforça um ponto crítico: dispositivos de rede antigos continuam sendo alvos prioritários, especialmente quando operam com configurações padrão e sem monitoramento adequado. A exploração da CVE-2025-20352 demonstra que vulnerabilidades em protocolos como SNMP ainda podem abrir brechas significativas — mesmo em ambientes com defesas modernas.
Portanto, a gestão proativa de vulnerabilidades e o uso de camadas adicionais de detecção são essenciais para proteger a infraestrutura. Em um cenário onde ataques a firmware e dispositivos de rede se tornam cada vez mais sofisticados, negligenciar atualizações e práticas de hardening é um risco que nenhuma organização pode mais correr.
About The Author
