Les chercheurs mettent en garde contre les charges utiles sans fichier, les hooks de mémoire et un contrôleur C2 basé sur UDP qui compliquent la détection et la correction.
Dans les attaques réelles récemment révélées, les acteurs malveillants exploitent une vulnérabilité du protocole SNMP (Simple Network Management Protocol) de Cisco pour obtenir l’exécution de code à distance (RCE) et installer des rootkits Linux sur des commutateurs vulnérables.
Une enquête de Trend Micro a retracé l’activité, baptisée « Opération Zero Disco », jusqu’aux anciennes plates-formes Cisco et a découvert que l’opération utilisait des adresses IP et MAC usurpées dans le cadre de sa chaîne d’attaque.
« L’opération ciblait les victimes exécutant des systèmes Linux plus anciens qui ne disposent pas de solutions de réponse de détection des points finaux, où elles ont déployé des rootkits Linux pour masquer l’activité et échapper à l’enquête et à la détection de l’équipe bleue », ont déclaré les chercheurs de Trend Micro dans un article de blog.
Les chercheurs de Trend ont également noté que les attaquants avaient tenté de combiner le SNMP RCE avec une technique d’accès à la mémoire modifiée liée à Telnet pour renforcer leur emprise.
Rootkits déployés via des requêtes SNMP spécialement conçues
La racine du problème est CVE-2025-20352, un problème de dépassement de tampon/de cadre d’autorisation dans l’implémentation SNMP de Cisco qui permet aux requêtes SNMP Get spécialement conçues de déclencher l’exécution de code à distance dans les versions IOS XE concernées. Une fois l’exécution du code obtenue, les attaquants déploient des rootkits Linux personnalisés qui se connectent à l’espace mémoire du démon Cisco IOS (IOSd), définissent des mots de passe universels et masquent les processus malveillants et l’activité réseau. Le mot de passe universel défini a été vu, y compris le mot « Disco ».
Le rootkit génère également un composant de contrôleur UDP, qui agit comme une interface de commande et de contrôle. Ce contrôleur peut basculer ou supprimer les journaux (en définissant la taille du journal sur « zéro »), contourner les contrôles d’accès et même réinitialiser l’horodatage des dernières écritures de configuration en cours d’exécution pour masquer les modifications.
La télémétrie de Trend montre que la campagne ciblait les appareils exécutant d’anciennes piles Linux sans EDR moderne, ce qui a permis au rootkit de persister plus facilement et d’échapper aux outils de l’équipe bleue. L’utilisation d’identifiants de réseau usurpés (IP et MAC) est probablement une tentative supplémentaire de mélanger ou de masquer les sources de trafic.
Outre SNMP, Trend Micro a observé des tentatives d’exploitation d’une version modifiée d’une vulnérabilité Telnet (basée sur CVE-2017-3881), réorganisée pour obtenir un accès arbitraire en lecture/écriture à la mémoire. Les capacités complètes de cet exploit modifié ne sont pas encore entièrement comprises, ont noté les chercheurs.
Effets au-delà d’une infection ponctuelle
Selon Trend Micro, la campagne a touché des familles Cisco spécifiques, notamment les commutateurs 9400, 9300 et 3750G. Les organisations concernées sont confrontées à bien plus qu’une compromission ponctuelle, car les commutateurs infectés peuvent fournir aux attaquants une plate-forme furtive à long terme pour les mouvements latéraux, l’interception de données ou la livraison ultérieure de charges utiles.
Certaines parties de l’exploit sont sans fichier ou volatiles, certains composants disparaissant au redémarrage, tandis que les hooks laissés en mémoire perdurent et certaines fonctions sont réactivées dynamiquement, ce qui rend la détection compliquée.
« Actuellement, il n’existe aucun outil automatisé universel capable de déterminer de manière fiable si un commutateur Cisco a été compromis avec succès par l’opération ZeroDisco », ont déclaré les chercheurs. « Si vous pensez qu’un commutateur est affecté, nous vous recommandons de contacter immédiatement le TAC Cisco et de demander au fournisseur de vous aider dans une enquête de bas niveau sur les régions du micrologiciel/ROM/démarrage. »
Les recommandations supplémentaires de Trend incluent l’application de correctifs pour CVE-2025-20352, le renforcement de l’accès SNMP (restreindre l’accessibilité du plan de gestion, appliquer les ACL) et le déploiement de détections de réseau/points de terminaison qui recherchent les indicateurs de compromission (IoC) et le trafic inhabituel du contrôleur SNMP UDP. Trend a également recommandé de combiner ses offres Trend Cloud One Network Security, Trend Vision One et Deep Discovery pour une inspection ciblée du réseau et XDR par rapport aux efforts de ZeroDisco.
