威胁行为者利用最近修补的IOS/IOS XE漏洞(CVE-2025-20352)在易受攻击的思科网络设备上部署Linux rootkit。
趋势科技的研究人员分享道:“该行动针对的是运行没有端点检测响应解决方案的旧Linux系统的受害者。”
一旦植入rootkit,它将设置一个通用密码(包含“disco”一词),并在IOSd(进程)内存空间上安装几个钩子,使无文件组件在重启后消失。
关于CVE-2025-20352
2025年9月下旬,思科修复了攻击者在零日攻击中利用的IOS/IOS XE漏洞(CVE-2025-20352),但没有分享有关攻击的更多细节。
CVE-2025-20352是Cisco IOS和IOS XE软件的简单网络管理协议(SNMP)子系统中的堆栈溢出漏洞,可能导致DoS条件或远程代码执行,而后者仅在攻击者已经拥有高特权的易受攻击设备的情况下。
思科指出:“攻击者可以通过IPv4或IPv6网络向受影响的设备发送精心制作的SNMP数据包来利用这一漏洞,”并分享说,攻击者能够获得有效的本地管理员凭据,并使用它们实现远程代码执行。
研究人员的发现
趋势科技发现,攻击者利用了思科9400、9300和传统3750G系列设备的缺陷。
他们使用了几种漏洞,并针对32位和64位平台。他们还试图利用旧Telnet漏洞(CVE-2017-3881)的修改版本,以实现任意地址的内存读/写。
研究人员发现了攻击者使用的几个漏洞。一个用于在目标设备上安装Linux rootkit,一个用于停止跟踪日志记录。
研究人员分享道:“趋势调查还发现了一个UDP控制器组件,用于控制rootkit,以及一个Cisco交换机上的arp欺骗工具。”
“UDP控制器提供了几个强大的管理功能:它可以打开或关闭日志历史记录或完全删除日志记录;绕过AAA身份验证并绕过VTY访问控制列表;启用或禁用通用密码;隐藏运行配置的部分内容;并重置上次运行配置写入的时间戳,以便配置看起来从未更改过。”
arp spoffing工具可用于将网络设备的流量首先发送给攻击者。
怎么办?
思科建议客户使用思科软件检查器或CVE-2025-20352安全咨询中的表单来检查他们的设备是否运行的是受影响的版本,如果是,请更新这些版本。
趋势科技分享了与这些攻击相关的妥协指标,但也指出,没有通用的自动化工具可用于确定思科交换机是否被ZeroDisco操作(他们所说的)成功破坏。
研究人员建议说:“如果您怀疑交换机受到影响,我们建议立即联系思科TAC,并要求供应商协助对固件/ROM/启动区域进行低级调查。”
虽然目标设备可能是较旧的,但漏洞也可以适用于较新的设备。
研究人员补充说:“较新的交换机模型通过地址空间布局随机化(ASLR)提供一些保护,这降低了入侵尝试的成功率;然而,应该注意的是,重复尝试仍然可以成功。”
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容