Hakerzy wykorzystują lukę SNMP w Cisco (CVE-2025-20352), aby instalować rootkita na przełącznikach

Wprowadzenie do problemu / definicja luki

Cisco potwierdziło aktywne wykorzystywanie luki CVE-2025-20352 w podsystemie SNMP systemów IOS oraz IOS XE. Błąd wynika z przepełnienia stosu i – w zależności od poziomu uprawnień napastnika – umożliwia DoS (restart urządzenia) lub zdalne wykonanie kodu z uprawnieniami roota. Cisco oznaczyło podatność jako wykorzystywaną w atakach (zero-day) i wydało poprawki w ramach wrześniowego pakietu biuletynów, aktualizując doradztwo 6 października 2025 r.

W skrócie

• Identyfikator: CVE-2025-20352 (CVSS High). Komponent: SNMP w IOS / IOS XE. CWE-121 (stack overflow).
• Warunki ataku: wymaga ważnych poświadczeń SNMP (np. RO dla SNMPv2c lub użytkownika SNMPv3). RCE jako root wymaga dodatkowo uprawnień administratorskich/priv-15.
• Status: potwierdzona eksploatacja w środowiskach produkcyjnych; wpis w CISA KEV.
• Nowa kampania: Trend Micro opisuje falę ataków „Operation Zero Disco” z rootkitem na przełącznikach (m.in. Catalyst 9300/9400, starsze 3750G).

Kontekst / historia / powiązania

Luka została ogłoszona w pakiecie wrześniowych biuletynów Cisco dla IOS/IOS XE (24 września 2025 r.), a następnie zaktualizowana 6 października z adnotacją o udanym wykorzystaniu. CISA dodała CVE-2025-20352 do Known Exploited Vulnerabilities (KEV), co zobowiązuje agencje federalne USA do priorytetowego łatania. Równolegle Trend Micro ujawnił kampanię „Operation Zero Disco”, w której napastnicy łączą SNMP-RCE z innymi wektorami (np. próby modyfikacji znanej luki CVE-2017-3881 w Telnecie) w celu trwałego przejęcia urządzeń sieciowych.

Analiza techniczna / szczegóły luki

Mechanika CVE-2025-20352. Błąd to przepełnienie stosu wyzwalane spreparowanym pakietem SNMP (IPv4/IPv6).

• Z niskimi uprawnieniami (np. RO dla SNMPv2c) napastnik może doprowadzić do restartu (DoS).
• Z wysokimi uprawnieniami (SNMPv1/v2c lub SNMPv3 + priv-15) możliwe jest RCE jako root.

„Operation Zero Disco” – implant i taktyki. Badacze Trend Micro odzyskali 32- i 64-bitowe warianty exploita SNMP oraz opisali rootkita, który po zainstalowaniu:

• ustawia uniwersalne hasło zawierające ciąg „disco”,
• wstrzykuje hooki w pamięci IOSd (częściowo „fileless”, komponenty znikają po reboocie),
• zapewnia kontroler UDP pozwalający m.in. wyłączać/usuwać logi, omijać AAA i VTY ACL, ukrywać fragmenty running-config oraz fałszować znaczniki czasu zmian,
• ułatwia ARP spoofing i ruch lateralny między VLAN-ami.
  Trend notuje celowanie w Catalyst 9300/9400 oraz legacy 3750G; nowsze modele z ASLR są bardziej odporne, ale nie całkowicie bezpieczne.

Widoczność i wykrywanie. Trend Micro podkreśla, iż brak jest narzędzia gwarantującego wykrycie kompromitacji tego typu – w razie podejrzeń potrzebna jest analiza niskopoziomowa firmware/ROM. BleepingComputer potwierdza te obserwacje, wskazując na brak niezawodnych detektorów i konieczność śledczej analizy obrazów.

Praktyczne konsekwencje / ryzyko

• Sieci kampusowe i DC: przełączniki dostępowe/rdzeniowe stają się punktami trwałego dostępu (persistent access). Rootkit potrafi ukrywać wpisy konfiguracyjne i manipulować logami, co utrudnia DFIR.
• Segmentacja i NAC: możliwość omijania AAA/ACL oraz ARP spoofing zwiększa ryzyko przeskakiwania VLAN-ów i eskalacji uprawnień w sieci.
• Dostępność usług: choćby bez RCE możliwy jest DoS krytycznych przełączników przez posiadaczy słabych/wyciekłych danych SNMP.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowe łatanie. Zastosuj najnowsze obrazy IOS/IOS XE z pakietu opublikowanego 24 września 2025 r. (aktualizacje doradztwa 6 października 2025 r.). Zweryfikuj, czy wersja zawiera poprawkę dla CVE-2025-20352.
2. Twarde ograniczenie SNMP.
   • Wyłącz SNMP v1/v2c (plaintext community) i przejdź na SNMPv3 z silnym hasłem i AES.
   • Ogranicz dostęp ACL-ami (tylko z adresów NMS/jump hostów).
   • Rotuj community/poświadczenia SNMP po wdrożeniu łatek.
3. Przegląd kont i AAA. Sprawdź, czy nie pojawiły się nietypowe konta/uniwersalne hasła, nieautoryzowane zmiany w VTY/AAA/ACL; porównaj running-config vs. startup-config i historię zapisów. Trend opisuje, iż rootkit potrafi ukrywać wpisy i fałszować timestampy – przeprowadź offline diff konfiguracji z backupami.
4. Telemetria i detekcja anomalii.
   • Szukaj nietypowych procesów/połączeń UDP na przełącznikach, ruchu SNMP o niestandardowych rozmiarach/OID-ach i prób ARP spoofingu.
   • Włącz/egzekwuj syslog na zewnętrzny serwer WORM; monitoruj restarty i zmiany konfiguracji.
5. Forensyka w przypadku podejrzeń. Trend zaleca analizę firmware/ROM oraz IoC z ich publikacji („Operation Zero Disco”). Zaplanuj window serwisowe na inspekcję niskopoziomową urządzeń oraz, jeżeli to możliwe, pełny reflash obrazu IOS/IOS XE po factory reset.
6. Zgodność i wymogi regulacyjne. jeżeli podlegasz amerykańskim regulacjom, uwzględnij wpis w CISA KEV i politykę priorytetyzacji poprawek.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W tej kampanii operatorzy próbowali również modyfikować klasyczny błąd CVE-2017-3881 (Telnet dla IOS/IOS XE) – nie tyle dla natychmiastowego RCE, co do odczytu/zapisu pamięci i wsparcia dla implantu. Taka kombinacja SNMP-RCE + Telnet-memory zwiększa niezawodność i persystencję ataków względem historycznych incydentów opartych wyłącznie na jednym wektorze.

Podsumowanie / najważniejsze wnioski

• CVE-2025-20352 jest realnie wykorzystywana i umożliwia pełne przejęcie (root) przy odpowiednich uprawnieniach SNMP; choćby niższe poziomy skutkują DoS.
• Kampania „Operation Zero Disco” dostarcza rootkita z kontrolą logów, omijaniem AAA i ukrywaniem konfiguracji – to trwały i trudny do wykrycia atak na przełączniki.
• Priorytetem jest patching, przejście na SNMPv3, twarde ACL, rotacja poświadczeń i inspekcja niskopoziomowa w środowiskach z sygnałami kompromitacji.

Źródła / bibliografia

1. Trend Micro – „Operation Zero Disco”: szczegóły exploita SNMP, rootkita, funkcje kontrolera UDP, listy IoC, dotknięte serie urządzeń. (www.trendmicro.com)
2. Cisco Security Advisory – cisco-sa-snmp-x4LPhte: oficjalny opis luki, status eksploatacji, aktualizacje z 06.10.2025 r. (Cisco)
3. NVD (NIST) – CVE-2025-20352: opis techniczny (stack overflow), warunki DoS/RCE, wymagane uprawnienia SNMP. (NVD)
4. CISA – Known Exploited Vulnerabilities (KEV): potwierdzenie dodania CVE-2025-20352 do katalogu KEV. (CISA)
5. BleepingComputer – informacja prasowa o wykorzystaniu luki do wdrażania rootkita na przełącznikach. (BleepingComputer)