Sự cố liên quan đến giao thức SNMP trong Cisco IOS và IOS XE, dẫn đến thực thi mã từ xa nếu kẻ tấn công có quyền root. Theo Trend Micro, các cuộc tấn công nhắm vào các thiết bị Switch Cisco 9400, 9300 và dòng 3750G đời cũ không có giải pháp phản hồi phát hiện điểm cuối.

Trong bản tin bảo mật vào đầu tháng 10, Cisco đã gắn thẻ CVE-2025-20352 đang bị khai thác và được phân loại là lỗ hổng zero-day. Các nhà nghiên cứu theo dõi các cuộc tấn công dưới tên gọi “Chiến dịch Zero Disco”, vì phần mềm độc hại đặt mật khẩu truy cập chung có chứa từ “disco”.

Báo cáo của Trend Micro lưu ý rằng kẻ tấn công cũng cố gắng khai thác CVE-2017-3881, một lỗ hổng bảo mật đã tồn tại 7 năm trong code của Cluster Management Protocol IOS và IOS XE.

Rootkit được cài vào các hệ thống dễ bị tấn công có UDP controller có thể lắng nghe trên bất kỳ cổng nào, chuyển đổi hoặc xóa log, bypass AAA và VTY ACL, bật/tắt mật khẩu chung, ẩn các mục cấu hình đang chạy và đặt lại timestamp.

Hình 1. Hàm UDP controller

Trong một cuộc tấn công mô phỏng, các nhà nghiên cứu chỉ ra rằng có thể vô hiệu hóa việc ghi log, giả mạo ARP, bypass các tập luật tường lửa nội bộ và di chuyển ngang hàng giữa các VLAN.

Hình 2. Tổng quan về cuộc tấn công mô phỏng

Mặc dù các thiết bị Switch mới hơn có khả năng hạn chế các cuộc tấn công này thông qua kỹ thuật bảo mật Address Space Layout Randomization (ASLR), tuy nhiên Trend Micro khẳng định không thiết bị nào miễn nhiễm trước các mối đe dọa tương tự. Các nhà nghiên cứu lưu ý, sau khi triển khai rootkit, phần mềm độc hại “cài đặt hook vào IOSd, điều này sẽ ẩn fileless sau khi khởi động lại. Nếu nghi ngờ bị xâm nhập, khuyến nghị được thực hiện là kiểm tra ROM và firmware cấp thấp (low-level).

Danh sách các chỉ số xâm phạm (IoC) liên quan đến Chiến dịch Zero Disco, quý độc giả có thể theo dõi tại đây.