Обнаружена уязвимость в продуктах Cisco IOS и IOS XE для установки руткитов Linux. Кампания получила название Operation Zero Disco и связана с использованием уязвимоси CVE-2025-20352, которая имеет оценку CVSS 7,7. Она позволяет аутентифицированному удаленному злоумышленнику выполнять произвольный код путем отправки специально сформированных пакетов SNMP на уязвимые устройства.
Специалисты Cisco исправили проблему в прошлом месяце, но атаки произошли до выпуска патча. Основными целями стали устройства серий Cisco 9400, 9300 и устаревшие модели 3750G. Помимо основной уязвимости, злоумышленники предпринимали попытки эксплуатации модифицированной версии уязвимости Telnet (CVE-2017-3881) для доступа к памяти устройств.
Злоумышленники использовали руткиты Linux для установления постоянного контроля над системами. Они создавали универсальные пароли и внедряли хуки в ядро операционной системы IOSd поверх ядра Linux. Атаки преимущественно направлены на старые версии Linux, которые не оснащены современными средствами защиты конечных точек.
Обнаружено использование фальшивых IP-адресов и электронных писем, имитирующих адреса Mac. Атаки включали попытку эксплуатации уязвимости Telnet. Точные детали реализации не определены.
Внедрение вредоносного ПО включает установку хуков в IOSd, приводящих к исчезновению бесфайловых компонентов после перезагрузки системы. В новых моделях коммутаторов имеются защитные механизмы. Но риск успешных атак сохраняется при многократных попытках проникновения.
Специалисты Cisco исправили проблему в прошлом месяце, но атаки произошли до выпуска патча. Основными целями стали устройства серий Cisco 9400, 9300 и устаревшие модели 3750G. Помимо основной уязвимости, злоумышленники предпринимали попытки эксплуатации модифицированной версии уязвимости Telnet (CVE-2017-3881) для доступа к памяти устройств.
Злоумышленники использовали руткиты Linux для установления постоянного контроля над системами. Они создавали универсальные пароли и внедряли хуки в ядро операционной системы IOSd поверх ядра Linux. Атаки преимущественно направлены на старые версии Linux, которые не оснащены современными средствами защиты конечных точек.
Обнаружено использование фальшивых IP-адресов и электронных писем, имитирующих адреса Mac. Атаки включали попытку эксплуатации уязвимости Telnet. Точные детали реализации не определены.
Внедрение вредоносного ПО включает установку хуков в IOSd, приводящих к исчезновению бесфайловых компонентов после перезагрузки системы. В новых моделях коммутаторов имеются защитные механизмы. Но риск успешных атак сохраняется при многократных попытках проникновения.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь