(https://i.imgur.com/UCGjhxH.jpeg)
Los investigadores de seguridad han identificado una campaña activa —denominada Operación Zero Disco— que aprovecha la vulnerabilidad CVE-2025-20352 en el subsistema SNMP de Cisco IOS y IOS XE para ejecutar código remoto y desplegar un rootkit Linux en equipos de red desprotegidos y con firmware antiguo. Esta intrusión permite al atacante obtener acceso persistente y realizar manipulaciones profundas en switches afectados, lo que representa un riesgo severo para la disponibilidad e integridad de la red empresarial.
La vulnerabilidad, clasificada con un CVSS alto (7.7), es un desbordamiento de pila en la implementación de SNMP que puede dar lugar a ejecución remota de código si el atacante posee credenciales SNMP válidas (SNMPv1/v2c read-only community string o credenciales SNMPv3) y, para el escalado total a root, credenciales administrativas o privilegios de nivel 15 en el dispositivo. Cisco identificó la falla como explotada en entornos reales y publicó un boletín de seguridad para su mitigación y parcheo.
Qué hace el rootkit y por qué es peligrosoSegún el análisis de Trend Micro, el rootkit desplegado por los atacantes incluye funcionalidades avanzadas de persistencia y evasión: instala un controlador UDP que puede escuchar en puertos arbitrarios; habilita una contraseña universal que contiene la palabra "disco" (de ahí el nombre de la operación); alterna o elimina registros, omite listas de control de acceso (ACL), suprime accesos AAA/VTY, y oculta elementos de la configuración en ejecución, además de manipular marcas de tiempo para frustrar la detección forense. Estas capacidades permiten al adversario permanecer oculto después de reinicios y moverse lateralmente dentro de la infraestructura de red.
En pruebas controladas, los investigadores demostraron además que el atacante puede deshabilitar el registro (logging), realizar suplantación ARP para fingir la IP de un gateway, evadir reglas de firewall internas y desplazarse entre VLAN, lo que convierte a un switch comprometido en una plataforma para ataques internos más amplios. Aunque modelos más recientes incluyen mitigaciones como ASLR (Address Space Layout Randomization), Trend Micro advierte que estas protecciones no garantizan inmunidad; la orientación persistente del actor podría comprometer incluso hardware relativamente moderno si no está completamente parcheado o monitoreado.
Equipos afectados y vectores observadosLas observaciones de campo indican que los ataques tuvieron éxito principalmente contra switches Cisco de generaciones anteriores: series Catalyst 9400, 9300 y equipos heredados 3750G que carecían de detección endpoint/EDR para la respuesta y detección en el plano del sistema. Además de CVE-2025-20352, los atacantes intentaron explotar una vulnerabilidad histórica (CVE-2017-3881) para ampliar sus capacidades de lectura/escritura en memoria.
Detección — limitaciones y recomendaciones forensesTrend Micro señala que no existe actualmente una herramienta fiable que identifique de forma automática y definitiva si un switch ha sido comprometido por esta campaña. Por ello, ante sospechas de intrusión la recomendación es realizar un análisis forense de firmware y una inspección de la región ROM a bajo nivel, además de validar integridad de imágenes y comparar hashes con copias de confianza. También se aconseja revisar registros fuera de línea, volcar la memoria cuando sea posible y buscar indicadores asociados con la contraseña universal y hooks en procesos IOSd.
Medidas urgentes para equipos y administradores de red- Aplicar parches de inmediato: implementar las actualizaciones publicadas por Cisco para las versiones afectadas de IOS/IOS XE. Cisco ya publicó parches y mitigaciones en su boletín oficial; aplíquelos de forma prioritaria en los dispositivos expuestos.
- Cambiar credenciales SNMP: asegurar strings de comunidad SNMPv1/v2c y revisar/rotar usuarios SNMPv3; limitar el uso de SNMP antiguo y migrar a configuraciones seguras.
- Segmentación y monitoreo: reforzar segmentación de red, implementar inspección profunda en perímetros y controles de tráfico entre VLAN; monitorizar anomalías en el tráfico UDP y actividad SNMP inusual.
- Revisión de logs y detección de persistencia: auditar registros, comprobar cambios en configuraciones en ejecución, y buscar evidencia de hooks en procesos del sistema o restablecimiento de marcas de tiempo. Si hay sospecha, realizar análisis de firmware/ROM.
- Respuesta y limpieza: ante confirmación de compromiso, aislar el equipo afectado, restaurar desde imágenes de firmware e imágenes de configuración verificadas, y reemplazar el hardware si la integridad no puede garantizarse. Notificar a stakeholders y, según procedimientos, coordinar con el fabricante y equipos de respuesta (PSIRT).
En fin...Operaciones como Zero Disco muestran cómo vulnerabilidades en servicios de gestión de red (SNMP) pueden transformarse en puertas para compromisos persistentes a nivel de infraestructura. La combinación de parches oportunos, endurecimiento de SNMP, monitoreo continuo y capacidad forense son esenciales para mitigar el riesgo. Priorice la actualización de los dispositivos Cisco afectados, evalúe la necesidad de auditoría de firmware en equipos críticos y coordine una investigación profesional si existe sospecha de intrusión.
Fuente: https://www.bleepingcomputer.com/