Hackere udnytter Cisco-sårbarhed i SNMP

Eskil Sørensen
10.20.2025 11:12
Bruges til at installere rootkit på netværksswitche

Flere trusselsaktører udnytter nu en sårbarhed i Simple Network Management Protocol (SNMP) i Cisco IOS og IOS XE – kendt som EUVD-2025-31023 / CVE-2025-20352 – til at udføre remote code execution (RCE) og etablere varig kontrol over kompromitterede enheder. Sårbarheden har en score på 7,7.

Det skriver Bleeping Computer.

Sårbarheden blev patchet tidligere på måneden, men ældre modeller som Cisco 9400-, 9300- og 3750G-serierne uden moderne EDR-løsninger er fortsat i risikozonen. Ifølge Trend Micro, der har dokumenteret angrebene, kan rootkittet skjule sig effektivt og udføre handlinger uden at efterlade synlige spor i systemloggene.

Operation “Zero Disco”: Universel adgang via skjult bagdør

Trend Micro sporer kampagnen under navnet “Operation Zero Disco”, opkaldt efter den universelle adgangskode, som malwaren opretter på de kompromitterede enheder.
Ud over den nyeste SNMP-sårbarhed har aktørerne også forsøgt at genudnytte EUVD-2017-12998 / CVE-2017-3881, en ældre fejl i Ciscos Cluster Management Protocol.

Rootkittet indeholder en UDP-controller, som kan:

  • Lytte på vilkårlige porte
  • Slette eller deaktivere logs
  • Omgå AAA- og VTY-adgangskontroller
  • Skjule aktive konfigurationselementer
  • Manipulere tidsstempler på ændringer

I tests viste researcherne, hvordan funktionen kan bruges til at slukke logging, udføre ARP-spoofing, omgå interne firewall-regler og bevæge sig lateralt mellem VLANs.

Begrænset detektion og komplekse afværgemuligheder

Selv om nyere Cisco-enheder drager fordel af Address Space Layout Randomization (ASLR), vurderer Trend Micro, at vedvarende målrettede angreb stadig kan kompromittere dem.

Rootkittet benytter såkaldte fileless hooks i IOSd-processen, som forsvinder efter genstart, hvilket vanskeliggør efterfølgende analyse.
Researchere har identificeret både 32- og 64-bit varianter af udnyttelseskoden, men påpeger, at der ikke findes værktøjer, der pålideligt kan opdage en kompromitteret switch. Hvis der er mistanke om infiltration, anbefales det at gennemføre en lavniveauinspektion af firmware og ROM-regioner for at identificere manipulation.

Opfordring til opdatering

Cisco har markeret CVE-2025-20352 som aktivt udnyttet og opfordrer alle organisationer til at:

  • Opdatere sårbare enheder med seneste firmware
  • Aktivere EDR og netværksbaseret overvågning
  • Overvåge unormale UDP-forbindelser og ændringer i konfigurationslogge
  • Isolere ældre netværkskomponenter, der ikke længere modtager sikkerhedsopdateringer

En fuld liste over indikatorer på kompromittering (IoCs) forbundet med Operation Zero Disco er offentliggjort af Trend Micro.

Læs mere

Sårbarhed