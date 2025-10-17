Интеграция
Хакеры массово перехватывали управление роутеров под Linux через «дыру» в Cisco

Неизвестные злоумышленники использовали «баг» в Cisco SNMP для установки руткитов в роутеры. На все ставились пароли, включавшие слово disco.

И снова - проблема в протоколе SNMP

Уязвимость в Cisco SNMP использовалась для серийной установки руткитов под ОС Linux. Характерно, что эта уязвимость не считается критической, но это не помешало злоумышленникам начать активно её использовать.

Исследователи Trend Micro выяснили, что «баг» под индексом CVE-2025-20352 (7,7 балла по шкале CVSS) использовался ещё до того, как вендор выпустил исправление к нему. Проблема затрагивает протокол Simple Network Management Protocol и, при успешной эксплуатации, вызывает переполнение буфера стека, что может приводить к запуску произвольного кода. При наличии авторизации в системе злоумышленнику необходимо лишь отправить специально составленный SNMP-пакет на уязвимое устройство.

tux700.jpg
barek2marcin / Pixabay
Неизвестные злоумышленники использовали «баг» в Cisco SNMP для установки руткитов в роутеры

Кампанию по эксплуатации этой уязвимости в Trend Micro обозначили как Operation Zero Disco. Ни с каким известным APT-актором её пока проассоциировать не удалось.

Атакам в основном подвергались устройства под управлением Cisco 9400, 9300 и 3750G (последний - снят с поддержки). Наблюдались также попытки эксплуатировать старую уязвимость в Telnet (CVE-2017-3881) с тем, чтобы получить доступ к памяти, - отмечают исследователи Trend Micro.

Старые устройства - гарантированные проблемы

Злоумышленники отчётливо сосредоточили свои усилия на устаревших системах под Linux, лишённых средств обнаружения вторжений.

«Устаревающие и вовсе снятые с поддержки устройства регулярно становятся объектом охоты со стороны всевозможных злоумышленников, в особенности если эти устройства пользовались в прошлом большой популярностью, - отмечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Если это сетевое оборудование, то в идеале от него стоит избавляться ещё до того, как поддержка прекращается».

Устанавливаемые вредоносы задавали в скомпрометированных системах «универсальные» пароли (которые обязательно содержали слово disco - видимо, каламбур с заменой первой буквы в названии Cisco) и внедряли обработчики прерываний в процесс IOSd, который функционирует на уровне ядра.

Управление руткитом осуществляется с помощью компонента контроллера UDP, который может выполнять функции регистратора входящих пакетов UDP на любом порте, включать и отключать журналирование, создавать универсальный пароль путем изменения памяти IOSd, обходить аутентификацию AAA, скрывать определенные части текущей конфигурации, а также маскировать изменения, внесенные в конфигурацию, - для этого он меняет временную метку так, что создаётся иллюзия её неизменности.

Роман Георгиев

