FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述

一项被称为"Operation Zero Disco"的高级攻击活动正在积极利用Cisco（思科）简单网络管理协议（SNMP）的关键漏洞，通过植入Linux rootkit控制易受攻击的网络设备。趋势科技监测到该活动利用的CVE-2025-20352漏洞可实现远程代码执行（RCE），主要针对缺乏现代防护机制的旧版Cisco交换机。截至2025年10月，已有企业网络遭受攻击，暴露出遗留基础设施的持续风险。

攻击机制分析

根据Cisco安全公告，该漏洞源于Cisco IOS XE软件SNMP认证框架的缓冲区溢出。攻击者通过构造特制SNMP Get-Request数据包触发溢出，在32位和64位交换机架构上实现任意代码执行。漏洞利用后，恶意软件会部署包含通用密码"disco"的rootkit（此命名暗指"Cisco"），使攻击者能通过AAA认证和本地登录等方式广泛访问系统。

该密码机制会挂钩IOSd内存空间，实现无文件持久化驻留，并在设备重启后自动清除痕迹以增加检测难度。趋势科技调查还发现，攻击者将此漏洞与基于CVE-2017-3881修改的Telnet漏洞串联使用，将其功能转向内存读写操作而非直接RCE。

网络渗透手法

在模拟真实入侵的测试场景中，攻击者利用交换机默认公开的SNMP共同体字符串渗透隔离网络。他们先使用窃取的凭证绕过外部防火墙，随后针对核心交换机操纵VLAN路由，并通过在guest shell中运行Linux ELF二进制文件实施ARP欺骗。

通过伪装可信中继IP，入侵者可关闭日志记录、重定向流量，并在不触发内部防火墙警报的情况下访问服务器区等受保护区域。退出时还会恢复日志和时间戳以消除痕迹，实现在DMZ区、办公区域和安全数据区的隐蔽横向移动。

防护建议

目前尚无自动化工具能完全检测此类rootkit，建议企业联系Cisco TAC进行固件检测。趋势科技推荐部署Cloud One Network Security进行虚拟补丁和入侵防御，同时启用Deep Discovery Inspector的5497规则监测UDP控制器流量。Vision One用户可使用狩猎查询和IoC扫描功能，通过46396等规则阻断SNMP溢出攻击。

紧急应对措施包括立即修补CVE-2025-20352漏洞、限制SNMP仅限认证共同体访问，以及对遗留设备进行网络隔离。此次行动再次警示未打补丁的网络设备面临的严重威胁，在企业面临国家支持攻击和网络犯罪激增的背景下，必须优先落实系统更新。

参考来源：

Cisco SNMP 0-Day Vulnerability Actively Exploited To Deploy Linux Rootkits

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）