概要
ハッカーが、シスコのSNMP(Simple Network Management Protocol)におけるリモートコード実行の脆弱性(CVE-2025-20352)を悪用し、古い保護されていないシスコ製ネットワークデバイスにLinuxルートキットをデプロイし、永続的なアクセス権を獲得していたことが明らかになりました。
脆弱性の詳細と攻撃
このセキュリティ上の問題は、Cisco IOSおよびIOS XEのSNMPに存在し、攻撃者がroot権限を持つ場合にリモートコード実行(RCE)につながるものです。攻撃の標的となったのは、Cisco 9400、9300、およびレガシー3750Gシリーズのデバイスで、これらにはエンドポイント検出応答(EDR)ソリューションが導入されていませんでした。
シスコは、10月6日に更新されたCVE-2025-20352の元の速報で、この脆弱性がゼロデイとして悪用されたことを確認しています。また、脅威アクターは、7年前のIOSおよびIOS XEのCluster Management Protocolコードにおける脆弱性(CVE-2017-3881)も悪用しようと試みていました。
「Operation Zero Disco」の脅威
サイバーセキュリティ企業Trend Microは、この一連の攻撃を「Operation Zero Disco」と名付けて追跡しています。これは、マルウェアが「disco」という単語を含むユニバーサルアクセスパスワードを設定することに由来します。
ルートキットの機能
脆弱なシステムに植え付けられたルートキットは、強力なUDPコントローラーを特徴としており、以下の機能を有しています。
- 任意のポートでリッスン可能
- ログの切り替えまたは削除
- AAAおよびVTY ACLのバイパス
- ユニバーサルパスワードの有効化/無効化
- 実行中の設定項目の非表示
- 最終書き込みタイムスタンプのリセット
シミュレーション攻撃では、ログの無効化、ARPスプーフィングによるウェイステーションIPのなりすまし、内部ファイアウォールルールのバイパス、VLAN間の横方向移動が可能であることが示されました。新しいスイッチはアドレス空間配置のランダム化(ASLR)保護によりこれらの攻撃に対してより耐性がありますが、完全に免疫があるわけではないとTrend Microは指摘しています。
このマルウェアは、IOSdに複数のフックをインストールしますが、再起動後にはファイルレスコンポーネントが消滅する特性を持っています。研究者たちは、32ビット版と64ビット版の両方のSNMPエクスプロイトを回収することに成功しました。
対策と検出
Trend Microによると、現在、これらの攻撃によって侵害されたシスコスイッチを確実に特定できるツールは存在しません。侵害の疑いがある場合、低レベルのファームウェアおよびROM領域の調査が推奨されています。「Operation Zero Disco」に関連する侵害指標(IoC)は公開されており、セキュリティ担当者はこれらを活用して自社の環境を評価することが求められます。