概要:Cisco SNMPの脆弱性が悪用され、Linuxルートキットが拡散
サイバーセキュリティ研究機関であるTrend Microは、「Operation Zero Disco」と名付けられた活発な攻撃キャンペーンを発見しました。このキャンペーンは、CiscoのSimple Network Management Protocol(SNMP)実装における重大な脆弱性(CVE-2025-20352)を悪用し、Linuxルートキットをネットワークデバイスにインストールしています。
標的とされたデバイスと脆弱性の詳細
この攻撃は主に、最新のエンドポイント検出・対応機能を持たない旧型のCiscoスイッチモデル(9400シリーズ、9300シリーズ、レガシーな3750Gデバイス)を標的としています。
- CVE ID: CVE-2025-20352
- 影響を受ける製品: Cisco IOS XE Software (32ビットおよび64ビットスイッチビルド)
- 脆弱性の種類: SNMP Buffer Overflow in Authframework OID
- CVSS 3.1スコア: ソースに記載なし
- 深刻度: Critical(緊急)
セキュリティ専門家は、この脆弱性が悪用されると、攻撃者が侵害されたシステムへの永続的な不正アクセスを獲得し、悪意のある活動を隠蔽してセキュリティチームによる検出を回避できると警告しています。
リモートコード実行とルートキットの展開
CVE-2025-20352は、32ビットおよび64ビットのCiscoスイッチビルドの両方に影響を与え、悪意のあるSNMPパケットを介してリモートコード実行を可能にします。デバイスが侵害されると、マルウェアはルートキットをインストールし、「disco」という単語を含むユニバーサルパスワードを設定します。これは「Cisco」の意図的な一文字違いと考えられています。
このルートキットは、IOSdメモリ空間に複数のフックを注入し、システム再起動後には消滅するものの、通常動作中はアクティブなファイルレスバックドアコンポーネントを作成します。攻撃者は、偽装されたIPアドレスとMACアドレスを利用して、侵入時の活動を隠蔽していました。
異なるプラットフォームアーキテクチャへの対応
Trend Microの研究者は、侵害されたLinuxシステムから、異なるプラットフォームアーキテクチャを標的とする複数の異なるエクスプロイトを回収しました。
- 32ビットデバイス向け: ルートキットをインストールできるSNMPエクスプロイトと、CVE-2017-3881に基づく変更されたTelnet脆弱性が展開され、任意のメモリ読み書き操作が可能になります。悪意のあるコマンドは、エクスプロイトの制限により複数のSNMPパケットに分割されていました。
- 64ビットスイッチビルド向け: 攻撃者は、ファイルレスバックドアをインストールする前に、ゲストシェル機能を実行するためにレベル15の特権アクセスを必要としました。回収されたエクスプロイトの一つは、メモリマッピング関数を使用せずにターゲットデバイスのトレースロギング機能を完全に無効にすることができました。
高度な回避技術とルートキットの機能
調査官は、ルートキットをリモートで管理するためのUDPコントローラーコンポーネントと、Ciscoスイッチ専用に作成されたARPスプーフィングツールも発見しました。攻撃手法は、複数のセキュリティ層を回避するように設計された高度なネットワーク侵入技術を示しています。
SNMPの脆弱性を介して初期アクセスを獲得した後、攻撃者はリモートでロギング機能を無効にし、保護されたゾーンに接続されたポートにウェイステーションIPアドレスを割り当て、ARPスプーフィングを実行して正当なトラフィックをリダイレクトし、元のシステムをオフラインに強制することができます。
UDPコントローラーは、ログ履歴の切り替え、AAA認証とVTYアクセス制御リストのバイパス、ユニバーサルパスワードの有効化、実行中の設定の一部隠蔽、タイムスタンプのリセット(設定変更が存在しないように見せる)など、広範な管理機能を提供します。ルートキットは、オープンポートを必要とせずにデバイスIPアドレスに向けられた任意のポートでUDPリスナーとして機能し、特定のアカウント名、EEMスクリプト、アクセス制御リストを実行中の設定から隠蔽します。
推奨事項
Ciscoは調査に法医学的分析を提供しており、組織は侵害が疑われる場合、直ちにCisco TACに連絡するよう強く推奨されています。
元記事: https://gbhackers.com/cisco-snmp-vulnerability-actively-exploited/