HackerNews 编译,转载请注明出处:
威胁行为体利用思科老旧、未受保护网络设备中一个近期刚修复的远程代码执行漏洞(CVE-2025-20352),部署 Linux rootkit 并获取持久访问权限。
此次攻击所利用的安全问题,影响思科 IOS 和 IOS XE 系统中的简单网络管理协议(SNMP)。若攻击者拥有 root 权限,便可通过该漏洞实现远程代码执行(RCE)。
据网络安全公司趋势科技(Trend Micro)称,攻击目标主要是思科 9400、9300 系列交换机,以及老旧的 3750G 系列设备,这些设备均未部署端点检测与响应解决方案。
在 10 月 6 日更新的 CVE-2025-20352 原始公告中,思科将该漏洞标记为 “已被零日利用”。思科产品安全事件响应团队(PSIRT)表示,已知该漏洞 “已被成功利用”。
趋势科技研究人员将此次攻击行动命名为 “零日迪斯科行动”(Operation Zero Disco),原因是恶意软件会设置一个通用访问密码,其中包含 “disco” 一词。
趋势科技的报告指出,威胁行为体还曾尝试利用 CVE-2017-3881 漏洞。这是一个存在七年之久的漏洞,位于 IOS 和 IOS XE 系统的集群管理协议(Cluster Management Protocol)代码中。
在易受攻击的系统上植入的 rootkit,具备一个 UDP 控制器,该控制器可实现多种功能:监听任意端口、切换或删除日志、绕过 AAA 认证与 VTY 访问控制列表(ACLs)、启用 / 禁用通用密码、隐藏运行配置项,以及重置这些配置项的最后修改时间戳。
研究人员在模拟攻击中证实,攻击者可通过该 rootkit 实现多项操作:禁用日志记录、通过 ARP 欺骗伪装中转站 IP、绕过内部防火墙规则,以及在不同虚拟局域网(VLAN)间横向移动。
尽管新型交换机借助地址空间布局随机化(ASLR)保护,对这类攻击的抵抗力更强,但趋势科技表示,它们并非完全免疫 —— 持续的针对性攻击仍可能导致其被入侵。
研究人员称,rootkit 部署完成后,恶意软件会 “在 IOSd 进程上安装多个钩子(hooks),导致无文件组件在设备重启后消失”。
目前,研究人员已成功恢复该 SNMP 漏洞利用工具的 32 位和 64 位两种变体。
趋势科技指出,当前尚无可靠工具能检测思科交换机是否因这类攻击被入侵。若怀疑设备遭黑客攻击,建议对底层固件和只读存储器(ROM)区域进行深度排查。
消息来源: bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
