- 21,327
- 46
- 8 Ноя 2022
История про универсальный пароль и руткит, который не поймать.
Специалисты Trend Research зафиксировали масштабную операцию под кодовым названием ZeroDisco, в ходе которой злоумышленники использовали уязвимость в протоколе Cisco SNMP ( CVE-2025-20352 , оценка CVSS: 9.0) для внедрения руткитов и выполнения произвольного кода на сетевых устройствах. Кампания затронула коммутаторы серий Cisco 9400, 9300 и устаревшие 3750G. Также были замечены попытки эксплуатации модифицированной версии Telnet-уязвимости CVE-2017-3881 (оценка CVSS: 9.8).
По данным Trend Micro, атаки были направлены на устройства с устаревшими версиями Linux, где отсутствуют средства обнаружения и реагирования на инциденты. После успешного взлома на систему устанавливался руткит, маскирующий следы активности и обеспечивающий длительный несанкционированный доступ. Заражённые коммутаторы получали универсальный пароль, в состав которого входило слово «disco» — видоизменённый вариант от названия производителя. Злоумышленники интегрировали в память IOSd собственные хуки, что делало компоненты вредоноса «безфайловыми» и исчезающими после перезапуска.
Наибольшую уязвимость представляют модели без защиты на уровне Address Space Layout Randomization (ASLR). В новых устройствах ASLR снижает вероятность успешного внедрения, однако многократные попытки всё равно могут привести к компрометации. Cisco предоставила данные для форензики и оценки масштабов инцидента, подтвердив, что операция затронула ограниченный круг клиентов, но доказательств масштабного распространения пока не выявлено.
Помимо SNMP-эксплуатации применялся доработанный эксплойт Telnet, основанный на старом CVE-2017-3881. В изменённой версии он использовался не для удалённого выполнения кода, а для чтения и записи произвольных областей памяти. В атаках применялись поддельные IP-адреса и даже маскировка под почтовые домены Apple. На Linux-устройствах, использовавшихся для подготовки атак, аналитики нашли SNMP-эксплойты под 32- и 64-битные платформы, а также инструменты ARP-спуфинга.
Для 32-битных систем злоумышленники направляли SNMP-пакеты с короткими командами, разбивая их на несколько частей из-за ограничений протокола. Один из перехваченных пакетов содержал фрагмент «$(ps -a» — индикатор выполнения команд через подстановку в оболочке. На 64-битных системах атака требовала прав уровня 15 и доступа к гостевой оболочке на коммутаторе. После входа с универсальным паролем злоумышленник устанавливал безфайловый бэкдор и управлял им через UDP-контроллер. Этот контроллер позволял полностью выключать журналирование, обходить аутентификацию AAA, скрывать элементы конфигурации и изменять временные метки, чтобы казалось, что настройки никогда не менялись.
Trend показала, как операция разворачивается в типичной корпоративной сети. Атакующий, имея базовые учётные данные, использует публичное сообщество SNMP для проникновения на маршрутизаторы и коммутаторы, а затем захватывает центральный коммутатор, чтобы получить доступ ко всем VLAN. После этого он имитирует IP-адрес доверенной станции администрирования, выполняет ARP-спуфинг и подменяет маршрут, изолируя легитимную машину и получая доступ к внутренним сегментам. После выхода злоумышленник восстанавливает журналирование, чтобы скрыть следы вмешательства.
Сам руткит действует на уровне операционной системы коммутатора и выполняет несколько функций. Он открывает скрытый канал управления через любой UDP-порт, даже если тот не числится в списке открытых. Создаёт универсальный пароль, модифицируя память IOSd и обеспечивая доступ независимо от метода аутентификации. Может скрывать определённые имена пользователей, сценарии EEM и списки ACL, включая аккаунты dg3y8dpk, dg4y8epk, dg5y8fpk, dg6y8gpk и dg7y8hpk. Также способен временно отключать ведение журналов и сбрасывать отметку времени последнего изменения конфигурации. Все изменения исчезают после перезагрузки, что делает анализ постфактум крайне затруднительным.
Trend Micro предупреждает, что на данный момент не существует универсального инструмента, способного автоматически выявить заражённые устройства. При подозрении на компрометацию специалисты советуют немедленно обратиться в службу поддержки Cisco для низкоуровневой проверки прошивки и загрузочных областей. Для защиты рекомендуется использовать комплексные решения, обеспечивающие виртуальное исправление уязвимостей, глубокий анализ трафика и блокировку попыток эксплуатации.
ZeroDisco стала одной из самых технически сложных кампаний против сетевых устройств Cisco за последние годы. Комбинируя старые уязвимости, фрагментированные SNMP-пакеты и встроенные механизмы сокрытия активности, её участники смогли доказать, что даже устаревшие протоколы при должной настойчивости способны стать входной точкой в инфраструктуру.
Специалисты Trend Research зафиксировали масштабную операцию под кодовым названием ZeroDisco, в ходе которой злоумышленники использовали уязвимость в протоколе Cisco SNMP ( CVE-2025-20352 , оценка CVSS: 9.0) для внедрения руткитов и выполнения произвольного кода на сетевых устройствах. Кампания затронула коммутаторы серий Cisco 9400, 9300 и устаревшие 3750G. Также были замечены попытки эксплуатации модифицированной версии Telnet-уязвимости CVE-2017-3881 (оценка CVSS: 9.8).
По данным Trend Micro, атаки были направлены на устройства с устаревшими версиями Linux, где отсутствуют средства обнаружения и реагирования на инциденты. После успешного взлома на систему устанавливался руткит, маскирующий следы активности и обеспечивающий длительный несанкционированный доступ. Заражённые коммутаторы получали универсальный пароль, в состав которого входило слово «disco» — видоизменённый вариант от названия производителя. Злоумышленники интегрировали в память IOSd собственные хуки, что делало компоненты вредоноса «безфайловыми» и исчезающими после перезапуска.
Наибольшую уязвимость представляют модели без защиты на уровне Address Space Layout Randomization (ASLR). В новых устройствах ASLR снижает вероятность успешного внедрения, однако многократные попытки всё равно могут привести к компрометации. Cisco предоставила данные для форензики и оценки масштабов инцидента, подтвердив, что операция затронула ограниченный круг клиентов, но доказательств масштабного распространения пока не выявлено.
Помимо SNMP-эксплуатации применялся доработанный эксплойт Telnet, основанный на старом CVE-2017-3881. В изменённой версии он использовался не для удалённого выполнения кода, а для чтения и записи произвольных областей памяти. В атаках применялись поддельные IP-адреса и даже маскировка под почтовые домены Apple. На Linux-устройствах, использовавшихся для подготовки атак, аналитики нашли SNMP-эксплойты под 32- и 64-битные платформы, а также инструменты ARP-спуфинга.
Для 32-битных систем злоумышленники направляли SNMP-пакеты с короткими командами, разбивая их на несколько частей из-за ограничений протокола. Один из перехваченных пакетов содержал фрагмент «$(ps -a» — индикатор выполнения команд через подстановку в оболочке. На 64-битных системах атака требовала прав уровня 15 и доступа к гостевой оболочке на коммутаторе. После входа с универсальным паролем злоумышленник устанавливал безфайловый бэкдор и управлял им через UDP-контроллер. Этот контроллер позволял полностью выключать журналирование, обходить аутентификацию AAA, скрывать элементы конфигурации и изменять временные метки, чтобы казалось, что настройки никогда не менялись.
Trend показала, как операция разворачивается в типичной корпоративной сети. Атакующий, имея базовые учётные данные, использует публичное сообщество SNMP для проникновения на маршрутизаторы и коммутаторы, а затем захватывает центральный коммутатор, чтобы получить доступ ко всем VLAN. После этого он имитирует IP-адрес доверенной станции администрирования, выполняет ARP-спуфинг и подменяет маршрут, изолируя легитимную машину и получая доступ к внутренним сегментам. После выхода злоумышленник восстанавливает журналирование, чтобы скрыть следы вмешательства.
Сам руткит действует на уровне операционной системы коммутатора и выполняет несколько функций. Он открывает скрытый канал управления через любой UDP-порт, даже если тот не числится в списке открытых. Создаёт универсальный пароль, модифицируя память IOSd и обеспечивая доступ независимо от метода аутентификации. Может скрывать определённые имена пользователей, сценарии EEM и списки ACL, включая аккаунты dg3y8dpk, dg4y8epk, dg5y8fpk, dg6y8gpk и dg7y8hpk. Также способен временно отключать ведение журналов и сбрасывать отметку времени последнего изменения конфигурации. Все изменения исчезают после перезагрузки, что делает анализ постфактум крайне затруднительным.
Trend Micro предупреждает, что на данный момент не существует универсального инструмента, способного автоматически выявить заражённые устройства. При подозрении на компрометацию специалисты советуют немедленно обратиться в службу поддержки Cisco для низкоуровневой проверки прошивки и загрузочных областей. Для защиты рекомендуется использовать комплексные решения, обеспечивающие виртуальное исправление уязвимостей, глубокий анализ трафика и блокировку попыток эксплуатации.
ZeroDisco стала одной из самых технически сложных кампаний против сетевых устройств Cisco за последние годы. Комбинируя старые уязвимости, фрагментированные SNMP-пакеты и встроенные механизмы сокрытия активности, её участники смогли доказать, что даже устаревшие протоколы при должной настойчивости способны стать входной точкой в инфраструктуру.
- Источник новости
- www.securitylab.ru
