“Operation Zero Disco” — ช่องโหว่ SNMP ของ Cisco ถูกใช้ฝัง rootkit บนสวิตช์ Linux
นักวิจัยจาก Trend Research เปิดเผยแคมเปญการโจมตีไซเบอร์ขั้นสูงชื่อ “Operation Zero Disco” ซึ่งใช้ช่องโหว่ CVE-2025-20352 ในบริการ SNMP ของ Cisco เพื่อฝัง rootkit บนสวิตช์ที่ใช้ Linux โดยเฉพาะรุ่น 9400, 9300 และ 3750G ที่ไม่มีระบบป้องกันแบบ EDR
เมื่อโจมตีสำเร็จ ผู้ไม่หวังดีสามารถ:
เข้าถึงระบบจากระยะไกล (RCE)
ตั้งรหัสผ่าน universal ที่มีคำว่า “disco”
ฝัง hook เข้าไปในหน่วยความจำ IOSd เพื่อหลบเลี่ยงการตรวจจับ
รับคำสั่งลับผ่าน UDP แม้พอร์ตจะปิดอยู่
ซ่อนบัญชีผู้ใช้, ACL และสคริปต์ EEM จาก config
ลบหรือแก้ไข log เพื่อปกปิดร่องรอยการโจมตี
ข้ามข้อจำกัด VTY access สำหรับ Telnet และ SSH
แฮกเกอร์เริ่มจากการใช้ community string “public” ของ SNMP เพื่อเข้าถึง core switch จากนั้นปลอมตัวเป็นอุปกรณ์ภายในที่เชื่อถือได้เพื่อข้าม firewall และใช้ ARP spoofing เพื่อควบคุมการสื่อสารในเครือข่าย
นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่ Telnet เก่า CVE-2017-3881 ที่ถูกดัดแปลงให้สามารถอ่าน/เขียนหน่วยความจำโดยตรง
Cisco ได้ออกคำแนะนำด้านความปลอดภัยให้:
ปิด SNMP หากไม่จำเป็น
เปลี่ยน community string จากค่าเริ่มต้น
อัปเดต firmware ทันที
จุดเด่นจากรายงาน
ช่องโหว่ CVE-2025-20352 ถูกใช้โจมตีสวิตช์ Cisco รุ่นเก่า
rootkit ฝังตัวลึกใน IOSd memory และหลบเลี่ยงการตรวจจับ
รับคำสั่งผ่าน UDP โดยไม่ต้องเปิดพอร์ต
ซ่อน config และ log เพื่อปิดบังการบุกรุก
ใช้ ARP spoofing เพื่อควบคุมการสื่อสารระหว่าง VLAN
ใช้ช่องโหว่ Telnet เก่าที่ถูกดัดแปลงเพื่อควบคุมหน่วยความจำ
Cisco แนะนำให้ปิด SNMP และอัปเดตระบบทันที
https://securityonline.info/operation-zero-disco-critical-cisco-snmp-flaw-cve-2025-20352-used-to-implant-linux-rootkits-on-switches/
นักวิจัยจาก Trend Research เปิดเผยแคมเปญการโจมตีไซเบอร์ขั้นสูงชื่อ “Operation Zero Disco” ซึ่งใช้ช่องโหว่ CVE-2025-20352 ในบริการ SNMP ของ Cisco เพื่อฝัง rootkit บนสวิตช์ที่ใช้ Linux โดยเฉพาะรุ่น 9400, 9300 และ 3750G ที่ไม่มีระบบป้องกันแบบ EDR
เมื่อโจมตีสำเร็จ ผู้ไม่หวังดีสามารถ:
เข้าถึงระบบจากระยะไกล (RCE)
ตั้งรหัสผ่าน universal ที่มีคำว่า “disco”
ฝัง hook เข้าไปในหน่วยความจำ IOSd เพื่อหลบเลี่ยงการตรวจจับ
รับคำสั่งลับผ่าน UDP แม้พอร์ตจะปิดอยู่
ซ่อนบัญชีผู้ใช้, ACL และสคริปต์ EEM จาก config
ลบหรือแก้ไข log เพื่อปกปิดร่องรอยการโจมตี
ข้ามข้อจำกัด VTY access สำหรับ Telnet และ SSH
แฮกเกอร์เริ่มจากการใช้ community string “public” ของ SNMP เพื่อเข้าถึง core switch จากนั้นปลอมตัวเป็นอุปกรณ์ภายในที่เชื่อถือได้เพื่อข้าม firewall และใช้ ARP spoofing เพื่อควบคุมการสื่อสารในเครือข่าย
นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่ Telnet เก่า CVE-2017-3881 ที่ถูกดัดแปลงให้สามารถอ่าน/เขียนหน่วยความจำโดยตรง
Cisco ได้ออกคำแนะนำด้านความปลอดภัยให้:
ปิด SNMP หากไม่จำเป็น
เปลี่ยน community string จากค่าเริ่มต้น
อัปเดต firmware ทันที
จุดเด่นจากรายงาน
ช่องโหว่ CVE-2025-20352 ถูกใช้โจมตีสวิตช์ Cisco รุ่นเก่า
rootkit ฝังตัวลึกใน IOSd memory และหลบเลี่ยงการตรวจจับ
รับคำสั่งผ่าน UDP โดยไม่ต้องเปิดพอร์ต
ซ่อน config และ log เพื่อปิดบังการบุกรุก
ใช้ ARP spoofing เพื่อควบคุมการสื่อสารระหว่าง VLAN
ใช้ช่องโหว่ Telnet เก่าที่ถูกดัดแปลงเพื่อควบคุมหน่วยความจำ
Cisco แนะนำให้ปิด SNMP และอัปเดตระบบทันที
https://securityonline.info/operation-zero-disco-critical-cisco-snmp-flaw-cve-2025-20352-used-to-implant-linux-rootkits-on-switches/
🕵️♂️ “Operation Zero Disco” — ช่องโหว่ SNMP ของ Cisco ถูกใช้ฝัง rootkit บนสวิตช์ Linux
นักวิจัยจาก Trend Research เปิดเผยแคมเปญการโจมตีไซเบอร์ขั้นสูงชื่อ “Operation Zero Disco” ซึ่งใช้ช่องโหว่ CVE-2025-20352 ในบริการ SNMP ของ Cisco เพื่อฝัง rootkit บนสวิตช์ที่ใช้ Linux โดยเฉพาะรุ่น 9400, 9300 และ 3750G ที่ไม่มีระบบป้องกันแบบ EDR
เมื่อโจมตีสำเร็จ ผู้ไม่หวังดีสามารถ:
🪲 เข้าถึงระบบจากระยะไกล (RCE)
🪲 ตั้งรหัสผ่าน universal ที่มีคำว่า “disco”
🪲 ฝัง hook เข้าไปในหน่วยความจำ IOSd เพื่อหลบเลี่ยงการตรวจจับ
🪲 รับคำสั่งลับผ่าน UDP แม้พอร์ตจะปิดอยู่
🪲 ซ่อนบัญชีผู้ใช้, ACL และสคริปต์ EEM จาก config
🪲 ลบหรือแก้ไข log เพื่อปกปิดร่องรอยการโจมตี
🪲 ข้ามข้อจำกัด VTY access สำหรับ Telnet และ SSH
แฮกเกอร์เริ่มจากการใช้ community string “public” ของ SNMP เพื่อเข้าถึง core switch จากนั้นปลอมตัวเป็นอุปกรณ์ภายในที่เชื่อถือได้เพื่อข้าม firewall และใช้ ARP spoofing เพื่อควบคุมการสื่อสารในเครือข่าย
นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่ Telnet เก่า CVE-2017-3881 ที่ถูกดัดแปลงให้สามารถอ่าน/เขียนหน่วยความจำโดยตรง
Cisco ได้ออกคำแนะนำด้านความปลอดภัยให้:
🚑 ปิด SNMP หากไม่จำเป็น
🚑 เปลี่ยน community string จากค่าเริ่มต้น
🚑 อัปเดต firmware ทันที
✅ จุดเด่นจากรายงาน
➡️ ช่องโหว่ CVE-2025-20352 ถูกใช้โจมตีสวิตช์ Cisco รุ่นเก่า
➡️ rootkit ฝังตัวลึกใน IOSd memory และหลบเลี่ยงการตรวจจับ
➡️ รับคำสั่งผ่าน UDP โดยไม่ต้องเปิดพอร์ต
➡️ ซ่อน config และ log เพื่อปิดบังการบุกรุก
➡️ ใช้ ARP spoofing เพื่อควบคุมการสื่อสารระหว่าง VLAN
➡️ ใช้ช่องโหว่ Telnet เก่าที่ถูกดัดแปลงเพื่อควบคุมหน่วยความจำ
➡️ Cisco แนะนำให้ปิด SNMP และอัปเดตระบบทันที
https://securityonline.info/operation-zero-disco-critical-cisco-snmp-flaw-cve-2025-20352-used-to-implant-linux-rootkits-on-switches/
0 ความคิดเห็น
0 การแบ่งปัน
60 มุมมอง
0 รีวิว