“Operation Zero Disco” — ช่องโหว่ SNMP ของ Cisco ถูกใช้ฝัง rootkit บนสวิตช์ Linux

นักวิจัยจาก Trend Research เปิดเผยแคมเปญการโจมตีไซเบอร์ขั้นสูงชื่อ “Operation Zero Disco” ซึ่งใช้ช่องโหว่ CVE-2025-20352 ในบริการ SNMP ของ Cisco เพื่อฝัง rootkit บนสวิตช์ที่ใช้ Linux โดยเฉพาะรุ่น 9400, 9300 และ 3750G ที่ไม่มีระบบป้องกันแบบ EDR

เมื่อโจมตีสำเร็จ ผู้ไม่หวังดีสามารถ:

เข้าถึงระบบจากระยะไกล (RCE)
ตั้งรหัสผ่าน universal ที่มีคำว่า “disco”
ฝัง hook เข้าไปในหน่วยความจำ IOSd เพื่อหลบเลี่ยงการตรวจจับ
รับคำสั่งลับผ่าน UDP แม้พอร์ตจะปิดอยู่
ซ่อนบัญชีผู้ใช้, ACL และสคริปต์ EEM จาก config
ลบหรือแก้ไข log เพื่อปกปิดร่องรอยการโจมตี
ข้ามข้อจำกัด VTY access สำหรับ Telnet และ SSH

แฮกเกอร์เริ่มจากการใช้ community string “public” ของ SNMP เพื่อเข้าถึง core switch จากนั้นปลอมตัวเป็นอุปกรณ์ภายในที่เชื่อถือได้เพื่อข้าม firewall และใช้ ARP spoofing เพื่อควบคุมการสื่อสารในเครือข่าย

นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่ Telnet เก่า CVE-2017-3881 ที่ถูกดัดแปลงให้สามารถอ่าน/เขียนหน่วยความจำโดยตรง

Cisco ได้ออกคำแนะนำด้านความปลอดภัยให้:
ปิด SNMP หากไม่จำเป็น
เปลี่ยน community string จากค่าเริ่มต้น
อัปเดต firmware ทันที

จุดเด่นจากรายงาน
ช่องโหว่ CVE-2025-20352 ถูกใช้โจมตีสวิตช์ Cisco รุ่นเก่า
rootkit ฝังตัวลึกใน IOSd memory และหลบเลี่ยงการตรวจจับ
รับคำสั่งผ่าน UDP โดยไม่ต้องเปิดพอร์ต
ซ่อน config และ log เพื่อปิดบังการบุกรุก
ใช้ ARP spoofing เพื่อควบคุมการสื่อสารระหว่าง VLAN
ใช้ช่องโหว่ Telnet เก่าที่ถูกดัดแปลงเพื่อควบคุมหน่วยความจำ
Cisco แนะนำให้ปิด SNMP และอัปเดตระบบทันที


https://securityonline.info/operation-zero-disco-critical-cisco-snmp-flaw-cve-2025-20352-used-to-implant-linux-rootkits-on-switches/
🕵️‍♂️ “Operation Zero Disco” — ช่องโหว่ SNMP ของ Cisco ถูกใช้ฝัง rootkit บนสวิตช์ Linux นักวิจัยจาก Trend Research เปิดเผยแคมเปญการโจมตีไซเบอร์ขั้นสูงชื่อ “Operation Zero Disco” ซึ่งใช้ช่องโหว่ CVE-2025-20352 ในบริการ SNMP ของ Cisco เพื่อฝัง rootkit บนสวิตช์ที่ใช้ Linux โดยเฉพาะรุ่น 9400, 9300 และ 3750G ที่ไม่มีระบบป้องกันแบบ EDR เมื่อโจมตีสำเร็จ ผู้ไม่หวังดีสามารถ: 🪲 เข้าถึงระบบจากระยะไกล (RCE) 🪲 ตั้งรหัสผ่าน universal ที่มีคำว่า “disco” 🪲 ฝัง hook เข้าไปในหน่วยความจำ IOSd เพื่อหลบเลี่ยงการตรวจจับ 🪲 รับคำสั่งลับผ่าน UDP แม้พอร์ตจะปิดอยู่ 🪲 ซ่อนบัญชีผู้ใช้, ACL และสคริปต์ EEM จาก config 🪲 ลบหรือแก้ไข log เพื่อปกปิดร่องรอยการโจมตี 🪲 ข้ามข้อจำกัด VTY access สำหรับ Telnet และ SSH แฮกเกอร์เริ่มจากการใช้ community string “public” ของ SNMP เพื่อเข้าถึง core switch จากนั้นปลอมตัวเป็นอุปกรณ์ภายในที่เชื่อถือได้เพื่อข้าม firewall และใช้ ARP spoofing เพื่อควบคุมการสื่อสารในเครือข่าย นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่ Telnet เก่า CVE-2017-3881 ที่ถูกดัดแปลงให้สามารถอ่าน/เขียนหน่วยความจำโดยตรง Cisco ได้ออกคำแนะนำด้านความปลอดภัยให้: 🚑 ปิด SNMP หากไม่จำเป็น 🚑 เปลี่ยน community string จากค่าเริ่มต้น 🚑 อัปเดต firmware ทันที ✅ จุดเด่นจากรายงาน ➡️ ช่องโหว่ CVE-2025-20352 ถูกใช้โจมตีสวิตช์ Cisco รุ่นเก่า ➡️ rootkit ฝังตัวลึกใน IOSd memory และหลบเลี่ยงการตรวจจับ ➡️ รับคำสั่งผ่าน UDP โดยไม่ต้องเปิดพอร์ต ➡️ ซ่อน config และ log เพื่อปิดบังการบุกรุก ➡️ ใช้ ARP spoofing เพื่อควบคุมการสื่อสารระหว่าง VLAN ➡️ ใช้ช่องโหว่ Telnet เก่าที่ถูกดัดแปลงเพื่อควบคุมหน่วยความจำ ➡️ Cisco แนะนำให้ปิด SNMP และอัปเดตระบบทันที https://securityonline.info/operation-zero-disco-critical-cisco-snmp-flaw-cve-2025-20352-used-to-implant-linux-rootkits-on-switches/
SECURITYONLINE.INFO
Operation Zero Disco: Critical Cisco SNMP Flaw (CVE-2025-20352) Used to Implant Linux Rootkits on Switches
"Operation Zero Disco" exploits a critical Cisco SNMP flaw (CVE-2025-20352) to deploy Linux rootkits on switches. The malware sets a universal "disco" password and hides configuration to maintain persistence.
0 ความคิดเห็น 0 การแบ่งปัน 60 มุมมอง 0 รีวิว