Actores maliciosos han explotado una vulnerabilidad de ejecución remota de código recientemente parcheada (CVE-2025-20352) en dispositivos de red de Cisco para desplegar un rootkit y atacar sistemas Linux desprotegidos.
El problema de seguridad afecta al Simple Network Management Protocol (SNMP) en Cisco IOS y IOS XE; y permite la ejecución remota de código (RCE) si el atacante tiene privilegios de root.
Según la empresa de ciberseguridad Trend Micro, los ataques aprovecharon la falla en dispositivos de las series Cisco 9400, 9300 y legacy 3750G, instalando rootkits en sistemas Linux más antiguos que no cuentan con soluciones de detección y respuesta en endpoints.
En el boletín original para CVE-2025-20352, actualizado el 6 de octubre, Cisco etiquetó la vulnerabilidad como explotada como zero day, indicando que su equipo de respuesta ante incidentes de seguridad de productos (PSIRT) estaba “al tanto de explotación exitosa”.
Operación Zero Disco
Los investigadores de Trend Micro identifican los ataques bajo el nombre “Operation Zero Disco”, porque el malware establece una contraseña de acceso universal que contiene la palabra “disco”.
El informe también señala que el actor de amenazas intentó explotar CVE-2017-3881, una vulnerabilidad de siete años en el Cluster Management Protocol de IOS y IOS XE.
Funciones del rootkit
El rootkit implantado en dispositivos Cisco vulnerables incluye un controlador UDP que puede:
- Escuchar en cualquier puerto.
- Activar o eliminar logs.
- Omitir AAA y ACL de VTY.
- Habilitar o deshabilitar la contraseña universal.
- Ocultar elementos de la configuración en ejecución.
- Reiniciar la marca de tiempo del último guardado.
En ataques simulados, los investigadores demostraron que es posible deshabilitar el registro de logs, suplantar una IP de waystation mediante ARP spoofing, evadir reglas de firewall internas y moverse lateralmente entre VLANs.
Aunque los switches más nuevos son más resistentes gracias a la protección ASLR (Address Space Layout Randomization), Trend Micro advierte que no son inmunes y un ataque persistente podría comprometerlos.
Tras desplegar el rootkit, el malware instala varios hooks en IOSd, lo que provoca que componentes sin archivos desaparezcan después de un reinicio.
Los investigadores recuperaron variantes de 32 y 64 bits del exploit SNMP.
Recomendaciones y mitigación
Actualmente no existe una herramienta que pueda detectar de manera confiable un switch Cisco comprometido por estos ataques.
Si se sospecha de una intrusión, se recomienda realizar una investigación de bajo nivel en el firmware y la región ROM.
Trend Micro ha publicado una lista de indicadores de compromiso (IoCs) asociados con la Operation Zero Disco.
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.