Investigadores han detectado una campaña activa denominada Operation Zero Disco, que explota la vulnerabilidad CVE-2025-20352 en el subsistema SNMP de Cisco IOS/IOS XE. Esta falla es un desbordamiento de pila (stack overflow) (CVSS 7.7) que permite a un atacante autenticado ejecutar código arbitrario de forma remota. El objetivo final es instalar rootkits persistentes en los sistemas Linux integrados dentro de los equipos Cisco afectados.
Detalles del Rootkit y Evasión Avanzada
Los atacantes lograron explotar esta vulnerabilidad como un Zero Day, lo que indica una vigilancia previa o inteligencia técnica sobre los sistemas de Cisco.
Mecanismo de Infiltración
- Vector SNMP: La falla SNMP (CVE-2025-20352) permite a un atacante enviar paquetes SNMP especialmente manipulados para desencadenar la ejecución de código.
- Rootkit en Memoria: El rootkit no es un malware tradicional basado en archivos, sino que se instala dentro del procesoIOSd(daemon central de Cisco), inyectando ganchos (hooks) en memoria y modificando el comportamiento del sistema operativo del equipo.
- Persistencia Furtiva: Para garantizar la persistencia, el atacante implanta una contraseña universal que incluye la palabra clave “disco” (una referencia juego de palabras con “Cisco”). Partes del rootkit son fileless : desaparecerán después de un reinicio, ya que operan directamente en memoria.
Evasión y Movimiento Lateral
- Dificultad Forense: Al operar en memoria y dentro de un demonio central del dispositivo, los mecanismos tradicionales de detección (escaneo de archivos, comparación de hashes en disco) son ineficaces.
- Confusión: Los atacantes utilizan IPs y direcciones MAC falsificadas (spoofing) para dificultar la trazabilidad del ataque.
- Objetivo Estratégico: El ataque apunta específicamente a los componentes Linux embebidos en los routers / switches modernos, que son capas menos visibles de la infraestructura. Una vez dentro, el atacante puede inspeccionar/manipular el tráfico, redirigir paquetes o pivotar hacia otros dispositivos en la red interna.
Recomendaciones
- Parcheo Inmediato y Control de Acceso
- Parchear CVE-2025-20352: Instalar los parches de Cisco para esta vulnerabilidad en todos los conmutadores / enrutadores afectados (incluidas las series 9400, 9300 y 3750G).
- Restricción de SNMP: Desactivar SNMP en dispositivos donde no sea absolutamente necesario. Si es necesario, restrinja el acceso SNMP solo a hosts de gestión supervisados y migrar a versiones seguras (SNMP v3 con autenticación y cifrado).
- Monitoreo Avanzado de Comportamiento
- Alertas SNMP Inusuales: Configure alertas para detectar tráfico SNMP inusual o solicitudes no habituales.
- Integridad en Memoria: Monitorear activamente los cambios en el daemon IOSd y los procesos internos del dispositivo (telemetría de memoria) para buscar la inyección de ganchos o código extraño, ya que la amenaza es fileless.
- Auditoría de Acceso: Habilitar syslog remoto y monitorear la configuración del dispositivo en busca de la contraseña universal implantada por el atacante (que incluye la palabra “disco”) u otros cambios de credenciales.
- Recuperación Forense
- Volcado de Memoria: Si se sospecha un compromiso, realice un volcado de memoria del switch o router (si el modelo lo permite) y analícelo para detectar los ganchos o artefactos volátiles del rootkit.
- Restauración Profunda: Si el compromiso se confirma, considere la restauración desde un firmware limpio o el reemplazo físico del equipo, dada la capacidad del rootkit para persistir de forma encubierta.
