Кибербезопасность: обнаружена масштабная атака на оборудование Cisco через уязвимость в SNMP

Кампания в основном нацелена на устаревшие модели коммутаторов Cisco, включая серии 9400, 9300 и legacy-устройства 3750G, которые не оснащены современными возможностями обнаружения и реагирования на конечных точках. Уязвимость затрагивает программное обеспечение Cisco IOS XE как в 32-битных, так и в 64-битных сборках для коммутаторов, и относится к типу переполнения буфера в компоненте Authframework OID протокола SNMP.

Успешная эксплуатация уязвимости предоставляет злоумышленникам устойчивый несанкционированный доступ к скомпрометированным системам, позволяя скрывать вредоносную активность и уклоняться от обнаружения службами безопасности. Атака демонстрирует продвинутые методики сетевого вторжения, предназначенные для обхода нескольких уровней защиты.

Удаленное выполнение кода позволяет развертывание руткитов. CVE-2025-20352 позволяет злоумышленникам достигать выполнения удаленного кода через специально сформированные пакеты SNMP. После компрометации устройства вредоносное программное обеспечение устанавливает руткит, который создает универсальный пароль, содержащий слово «disco» - предположительно намеренное изменение названия «Cisco» на одну букву.

Затем руткит внедряет множество перехватчиков в память процесса IOSd, создавая файловые компоненты бэкдора, которые исчезают после перезагрузки системы, но остаются активными во время нормальной работы. Злоумышленники использовали поддельные IP-адреса и MAC-адреса для сокрытия своей активности во время попыток проникновения.

Хотя новые модели коммутаторов включают технологию ASLR (Address Space Layout Randomization) для снижения вероятности успешного вторжения, исследователи отмечают, что повторные попытки эксплуатации все же могут преодолеть эти защиты. Атакующий может получить доступ к другим защищенным зонам, выдавая себя за IP-адрес промежуточной станции для обхода внутреннего межсетевого экрана.

Исследователи Trend Micro обнаружили несколько различных эксплойтов на скомпрометированных системах Linux, нацеленных на различные архитектуры платформ. Для 32-битных устройств злоумышленники развернули эксплойты SNMP, способные устанавливать руткиты, и модифицированную уязвимость Telnet на основе CVE-2017-3881, которая позволяет выполнять произвольные операции чтения и записи памяти.

Анализ сетевого трафика показал, что вредоносные команды разделялись на несколько пакетов SNMP из-за ограничений эксплойта. На 64-битных сборках коммутаторов злоумышленникам требовался доступ с привилегиями уровня 15 для запуска функциональности гостевой оболочки перед установкой файловых бэкдоров. Один из обнаруженных эксплойтов мог полностью отключать ведение журналов трассировки на целевых устройствах без использования функций отображения памяти.

Следователи также обнаружили компонент UDP-контроллера, предназначенный для удаленного управления руткитом, и инструмент подмены ARP, специально созданный для коммутаторов Cisco. После получения первоначального доступа через уязвимость SNMP атакующие могут удаленно отключать функции логирования, назначать IP-адреса промежуточных станций портам, подключенным к защищенным зонам, и выполнять подмену ARP для перенаправления легитимного трафика, одновременно выводя из строя оригинальные системы.

UDP-контроллер предоставляет расширенные возможности управления, включая переключение истории журналов, обход аутентификации AAA и списков контроля доступа VTY, включение универсальных паролей, сокрытие частей текущих конфигураций и сброс временных меток для маскировки изменений конфигурации. Руткит функционирует как UDP-слушатель на любом порту, направленном на IP-адреса устройств, без необходимости открытия портов, одновременно скрывая определенные имена учетных записей, скрипты EEM и списки контроля доступа из текущих конфигураций.

Cisco предоставила forensic-анализ для расследования, и организациям настоятельно рекомендуется немедленно обращаться в службу технической поддержки Cisco TAC при подозрении на компрометацию. Эксперты по безопасности предупреждают, что данная атака представляет серьезную угрозу для сетевой инфраструктуры и требует незамедлительного применения корректирующих мер, включая установку обновлений безопасности и проверку систем на признаки взлома.

SHA256

• 235dc2d8c92661e5e2797a03bccd2653272ca1ac93401d194d7784930ca17a5a
• 2abc874435c16aa5cfd431b0d9c26095ef4b9429bd82306f054c367e96df49b2
• 3a524bc40ca7c11b68283504f0119caeefd7589edea621d43d5d0cd973354675
• 69d761bdde73ea8e33384cf986d7e9c2d9011f7aad8933e8af64e60a77091e11
• 7cc7aed51adb426e55d82fd74c55b78f6ecbb895a315be721ef149a17f4b3a9b
• 81b35152768f28a479ba9f7e27d66042b0d7edcd79355481aa401f3f47a7733b
• 9b8a896aa2057f46e17b18bbe091d85fb816b1d3232a3178d6aba94df3a92f6a
• B08877f6f1c6c097240a6a8aa4a23243e3b14a1432170bc3fa5fa9886a2b19b4
• E303d0c6c59b4dc55edc0212a9319702e9db7fa03185ae9177777b874c02d4c1