思科的網路設備、資安設備廣泛受到採用,一旦出現漏洞往往會受到注意,尤其是最近幾個月該公司公布多個已遭利用的漏洞,每次揭露都會引起高度關注。最近資安業者趨勢科技發現有人針對思科交換器從事攻擊,過程裡運用先前公布的零時差漏洞。
趨勢科技指出,他們看到有人利用CVE-2025-20352從事攻擊行動,在未受到保護的思科設備部署Linux Rootkit,並設置通用密碼,以及在IOSd記憶體空間部署特定的掛鉤工具,而能遠端執行任意程式碼(RCE),並建立持久的未經授權存取管道。攻擊者主要鎖定的標的,涵蓋Catalyst 9400、9300,以及已進入終止支援階段的3750G系列的交換器。此外,為了能夠啟用記憶體存取的功能,他們嘗試利用另一個以CVE-2017-3881為基礎的Telnet漏洞來達到目的。
CVE-2025-20352存在於網路設備作業系統IOS及IOS XE的SNMP子系統,一旦攻擊者加以利用,就有機會透過IPv4或IPv6傳送惡意SNMP封包來利用,CVSS風險達到7.7。思科於9月底提出警告,這項漏洞已被用於實際攻擊行動,但並未說明進一步細節。
而對於攻擊者鎖定的企業組織,趨勢科技特別提到,由於交換器無法部署EDR系統,使得攻擊者能透過Rootkit隱匿行蹤,逃過企業藍隊的調查。由於駭客設置的通用密碼包含Disco一詞,趨勢科技將這起攻擊行動命名為Operation Zero Disco。
攻擊者同時針對32位元及64位元的思科設備發動攻擊,他們利用SNMP封包分段傳送命令,不過趨勢科技指出在64位元環境利用漏洞存在必要條件,那就是必須取得最高的15級權限,並於受害設備執行Guest Shell。得逞後攻擊者就能使用通用密碼登入作業系統,並部署無檔案後門程式,然後透過UDP控制器操作Rootkit執行後續工作。此外,他們在受害交換器當中,發現駭客也運用Arp欺騙工具。
究竟這個用於交換器系統的Rootkit有那些功能?首先,它能接收任意的UDP封包,從而建立通道並觸發後門的功能,特別的是,過程裡攻擊者無需刻意開啟特定的連接埠。
再者,該惡意程式能設置通用密碼,以及隱藏記憶體當中的帳號名稱、EEM指令碼、存取控制列表(ACL)內容。此外,攻擊者還能繞過思科虛擬終端機(VTY)的存取控制列表、刪除或暫停事件記錄,以及重置設定檔的時戳。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
