駭客利用近期修補的
IOS/IOS XE 漏洞(CVE-2025-20352),在易受攻擊的 Cisco 網路設備上部署 Linux rootkit。
趨勢科技的研究人員指出,此攻擊行動鎖定執行舊版 Linux 系統且未部署EDR的受害者。Rootkit 植入成功後,會設定一組包含「disco」字樣的萬用密碼,並在 IOSd(程序)記憶體空間中安裝多個hook,使無檔案元件在重新啟動後消失。
CVE-2025-20352 漏洞
2025 年 9 月下旬,Cisco 修補了一個遭攻擊者利用的 IOS/IOS XE 零時差漏洞(CVE-2025-20352),但未透露攻擊的進一步細節。
CVE-2025-20352 是 Cisco IOS 和 IOS XE 軟體簡單網路管理協定(SNMP)子系統中的堆疊溢位漏洞。該漏洞
可能導致阻斷服務或遠端程式碼執行,但遠端程式碼執行僅在攻擊者已擁有易受攻擊設備的高權限時才能實現。
Cisco 表示,攻擊者可透過 IPv4 或 IPv6 網路向受影響設備傳送精心製作的 SNMP 封包來利用此漏洞。駭客能夠取得有效的本地管理員憑證,並使用這些憑證實現遠端程式碼執行。
延伸閱讀:Cisco ASA防火牆遭零日攻擊:駭客部署 RayInitiator 與LINE VIPER惡意軟體
研究人員的發現
趨勢科技發現,
攻擊者利用此漏洞攻擊 Cisco 9400、9300 及舊版 3750G 系列設備,並使用多種攻擊程式,
同時鎖定 32 位元和 64 位元平台。此外,還嘗試利用修改版的舊 Telnet 漏洞(CVE-2017-3881),以在任意位址實現記憶體讀取與寫入。
研究人員發現攻擊者使用了數個攻擊程式。其中一個用於安裝 Linux rootkit,另一個用於停止目標設備上的追蹤記錄。此外,調查還發現了一個用於控制 rootkit 的 UDP 控制器元件,以及部署在 Cisco 交換器上的 ARP 欺騙工具。
此 UDP 控制器提供多項強大的管理功能:
- 開啟或關閉日誌歷史記錄,或完全刪除日誌
- 繞過 AAA 驗證和 VTY 存取控制清單
- 啟用或停用萬用密碼
- 隱藏執行中組態的部分內容
- 重設執行組態最後寫入的時間戳記,使組態看似從未變更
ARP 欺騙工具則可將原本傳送至網路設備的流量先導向攻擊者。
防護建議
Cisco 建議客戶採取以下措施:
- 使用 Cisco Software Checker 或 CVE-2025-20352 安全公告中的表單,檢查設備是否執行受影響的版本
- 若設備受影響,應立即更新
- 趨勢科技已分享與這些攻擊相關的入侵指標(Indicators of Compromise,IoC),但目前沒有通用的自動化工具可判斷 Cisco 交換器是否已成功遭 ZeroDisco 行動入侵
- 如懷疑交換器受到影響,建議立即聯繫 Cisco TAC,請廠商協助進行韌體、ROM 及開機區域的低階調查
雖然受攻擊的設備可能是較舊型號,但這些攻擊程式也能在較新設備上運作。較新的交換器型號透過位址空間配置隨機化(ASLR)提供一定程度的保護,可降低入侵成功率。然而,研究人員提醒,駭客若重複嘗試仍可能突破防護。
本文轉載自 HelpNetSecurity。