Aanvallers misbruiken Cisco kwetsbaarheid voor installatie van rootkits

Trend Micro Research heeft details vrijgegeven over een nieuwe aanvalsgolf die misbruik maakt van CVE-2025-20352, een Cisco SNMP-kwetsbaarheid die kan leiden tot Remote Code Execution (RCE). De operatie treft voornamelijk oudere Cisco-switches, waaronder de 9400-, 9300- en de verouderde 3750G-series. Het doel is het verkrijgen van permanente, onbevoegde toegang.

Rootkits en een 'universeel wachtwoord'

Zodra de kwetsbaarheid is uitgebuit, installeren de aanvallers Linux-rootkits op de kwetsbare apparaten. Deze rootkits zijn ontworpen om hun activiteiten te verbergen voor zowel beveiligingssystemen als blue-teams (interne beveiligingsteams) en stellen aanvallers in staat om hun aanwezigheid te verankeren.

Een opvallend kenmerk van de aanval is de installatie van een fileless rootkit op het IOSd-geheugen (het besturingssysteemproces van Cisco). Dit malwareonderdeel stelt een universeel wachtwoord in dat het woord "disco" bevat. Trend Micro vermoedt dat dit een opzettelijke, licht gewijzigde verwijzing is naar de naam van de fabrikant. Hoewel deze wijziging bij een herstart verdwijnt, wordt de initiële toegang en laterale verplaatsing binnen het netwerk aanzienlijk vereenvoudigd.

De aanvallers richten zich specifiek op slachtoffers die oudere Linux-systemen gebruiken zonder moderne Endpoint Detection Response-oplossingen (EDR), wat hen een gemakkelijk doelwit maakt voor de implementatie van de Linux-rootkits om hun activiteiten te maskeren.

Complexe aanvalstechnieken

Naast de SNMP-exploit probeerden de aanvallers ook een gemodificeerde versie van een oudere Telnet-kwetsbaarheid (CVE-2017-3881) te misbruiken. Hoewel die kwetsbaarheid al eerder bekendstond om RCE-aanvallen, werd deze in de nieuwe campagne aangepast om geheugenlees-/schrijftoegang op willekeurige adressen mogelijk te maken.

De onderzoekers van Trend Micro ontdekten dat de aanvallers na de compromittering een UDP-controller inzetten. Dit krachtige beheerinstrument biedt verschillende functies om detectie te omzeilen:

• Logboekmanipulatie: Het kan de loggeschiedenis in- of uitschakelen, of logboeken volledig wissen.
• Authenticatie omzeilen: Het kan AAA-authenticatie en VTY access-control lists (ACL's) omzeilen.
• Configuratie verbergen: Het kan delen van de running configuration verbergen en de tijdstempel van de laatste configuratiewijziging resetten, waardoor het lijkt alsof er nooit iets is gewijzigd.

Laterale verplaatsing en ARP spoofing

In een gesimuleerd aanvalsscenario demonstreerde Trend Micro hoe de aanvallers de geïnfecteerde Cisco-switches gebruiken als springplank voor laterale verplaatsing binnen een netwerk. Door het misbruik van de switch konden ze:

1. Logs op de switch op afstand uitschakelen.
2. Het IP-adres van een legitiem waystation (een tussenliggende server die toegang geeft tot beveiligde zones) overnemen.
3. ARP spoofing uitvoeren om verkeer dat bestemd is voor het waystation naar de gecompromitteerde switch om te leiden.

Door zich voor te doen als het legitieme waystation, konden de aanvallers de interne firewall omzeilen en toegang krijgen tot beveiligde netwerkzones.

Wat te doen bij vermoeden van een aanval

Vanwege de complexiteit en het fileless karakter van de rootkit, is er geen eenvoudige geautomatiseerde tool om een succesvolle compromittering door 'Operation Zero Disco' vast te stellen.

Onmiddellijk actieplan: als u vermoedt dat een Cisco-switch is getroffen, wordt aangeraden onmiddellijk contact op te nemen met Cisco TAC (Technical Assistance Center) om assistentie te vragen bij een low-level onderzoek van de firmware/ROM/boot-regio's van het apparaat.

Beveiligingsbedrijven, waaronder Trend Micro, raden aan om zo snel mogelijk te patchen en geavanceerde netwerkbeveiligingsoplossingen te gebruiken die diepgaande inspectie van netwerkverkeer en virtuele patching bieden om dergelijke zero-day en geavanceerde aanvallen tegen te gaan.