Operazione Zero Disco: una nuova minaccia per i sistemi Cisco
I ricercatori di cybersecurity hanno recentemente svelato i dettagli di una campagna che ha sfruttato una vulnerabilità di sicurezza recentemente scoperta nei software Cisco IOS e IOS XE. Questa attività, denominata Operazione Zero Disco da Trend Micro, ha coinvolto l’uso della vulnerabilità CVE-2025-20352 (punteggio CVSS: 7.7), un difetto di overflow dello stack nel sottosistema Simple Network Management Protocol (SNMP). Questo difetto potrebbe consentire a un attaccante remoto autenticato di eseguire codice arbitrario inviando pacchetti SNMP appositamente creati a un dispositivo vulnerabile.
Nonostante Cisco abbia risolto il problema alla fine del mese scorso, la vulnerabilità è stata sfruttata come zero-day in attacchi reali prima che la patch fosse disponibile. Gli attacchi hanno principalmente colpito i dispositivi delle serie Cisco 9400, 9300 e i vecchi modelli 3750G. Inoltre, sono stati rilevati tentativi di sfruttare una vulnerabilità Telnet modificata (basata su CVE-2017-3881) per abilitare l’accesso alla memoria.
Rootkit e accesso non autorizzato
I rootkit installati hanno permesso agli attaccanti di ottenere l’esecuzione di codice remoto e di mantenere un accesso non autorizzato persistente impostando password universali e installando hook nello spazio di memoria del daemon Cisco IOS (IOSd). L’IOSd viene eseguito come processo software all’interno del kernel Linux. Un aspetto notevole degli attacchi è che hanno preso di mira sistemi Linux più vecchi, privi di soluzioni di rilevamento e risposta degli endpoint, facilitando l’installazione dei rootkit senza essere rilevati.
Oltre alla vulnerabilità CVE-2025-20352, gli attori della minaccia sono stati osservati mentre tentavano di sfruttare una vulnerabilità Telnet modificata per consentire la lettura/scrittura della memoria a indirizzi arbitrari. Tuttavia, la natura esatta di questa funzionalità rimane poco chiara.
Strategie di attacco e difesa
Gli attaccanti hanno utilizzato IP e indirizzi email Mac falsificati per condurre le loro intrusioni. Il nome “Zero Disco” deriva dal fatto che il rootkit impiantato imposta una password universale che include la parola “disco”, una variazione di una lettera rispetto a “Cisco”. Il malware installa diversi hook sull’IOSd, facendo sì che i componenti senza file scompaiano dopo un riavvio. I modelli di switch più recenti offrono una certa protezione tramite la randomizzazione del layout dello spazio degli indirizzi (ASLR), che riduce il tasso di successo dei tentativi di intrusione; tuttavia, tentativi ripetuti possono ancora avere successo.
Considerazioni finali
Questa campagna di attacco evidenzia l’importanza di mantenere aggiornati i sistemi e di implementare soluzioni di sicurezza robuste, specialmente per i dispositivi più vecchi che possono essere più vulnerabili. La capacità degli attaccanti di sfruttare vulnerabilità note e di aggirare le difese tradizionali sottolinea la necessità di un approccio proattivo alla sicurezza informatica. L’Operazione Zero Disco serve come promemoria del fatto che le minacce informatiche sono in continua evoluzione e richiedono una vigilanza costante da parte delle organizzazioni per proteggere le loro infrastrutture critiche.
Fonte: The Hackers News
