Các nhà nghiên cứu bảo mật tại Trend Micro đã phát hiện một chiến dịch tấn công đang hoạt động có tên “Operation Zero Disco”. Chiến dịch này khai thác một lỗ hổng CVE nghiêm trọng trong triển khai Giao thức Quản lý Mạng Đơn giản (SNMP) của Cisco.

Lỗ hổng CVE này, được theo dõi là CVE-2025-20352, cho phép các tác nhân đe dọa thực thi mã từ xa (remote code execution) và triển khai các rootkit Linux tinh vi trên các thiết bị mạng dễ bị tổn thương.

Phân tích CVE-2025-20352 và Cơ chế Khai thác

CVE-2025-20352 ảnh hưởng đến cả các bản dựng Cisco switch 32-bit và 64-bit. Kẻ tấn công có thể đạt được remote code execution thông qua các gói tin SNMP độc hại.

Chiến dịch này chủ yếu nhắm vào các mẫu Cisco switch cũ, bao gồm các dòng 9400, 9300 và các thiết bị 3750G kế thừa.

Những thiết bị này thường thiếu các khả năng phát hiện và phản hồi điểm cuối hiện đại, làm tăng nguy cơ bị xâm nhập. Việc khai thác thành công cấp cho kẻ tấn công quyền truy cập trái phép liên tục vào các hệ thống bị xâm phạm.

Mục tiêu và Kỹ thuật Khai thác Ban đầu

Các chuyên gia bảo mật cảnh báo rằng việc chiếm quyền điều khiển cho phép kẻ tấn công che giấu hoạt động độc hại và né tránh sự phát hiện của các đội ngũ bảo mật.

Trong quá trình thâm nhập, kẻ tấn công đã sử dụng địa chỉ IP và MAC giả mạo để che giấu danh tính và hoạt động của chúng. Điều này gây khó khăn cho việc truy vết nguồn gốc mối đe dọa mạng.

Trong khi các mẫu switch mới hơn tích hợp Address Space Layout Randomization (ASLR) để giảm tỷ lệ xâm nhập thành công, các nhà nghiên cứu lưu ý rằng các nỗ lực khai thác lặp đi lặp lại vẫn có thể phá vỡ các biện pháp phòng thủ này.

Chi tiết Khai thác cho Kiến trúc Khác nhau

Các nhà nghiên cứu của Trend Micro đã thu hồi một số mã khai thác riêng biệt từ các hệ thống Linux bị xâm phạm, nhắm mục tiêu vào các kiến trúc nền tảng khác nhau.

Đối với các thiết bị 32-bit, kẻ tấn công đã triển khai các mã khai thác SNMP có khả năng cài đặt rootkit. Ngoài ra, một lỗ hổng CVE khác là Telnet đã được sửa đổi dựa trên CVE-2017-3881, cho phép các hoạt động đọc và ghi bộ nhớ tùy ý.

Việc thu thập gói tin mạng cho thấy các lệnh độc hại được chia thành nhiều gói SNMP do những hạn chế của mã khai thác.

Trên các bản dựng switch 64-bit, các tác nhân đe dọa yêu cầu quyền truy cập đặc quyền level 15 để chạy chức năng guest shell trước khi cài đặt các backdoor không tập tin.

Một trong những mã khai thác được khôi phục có thể vô hiệu hóa hoàn toàn việc ghi nhật ký theo dõi trên các thiết bị mục tiêu mà không sử dụng các chức năng ánh xạ bộ nhớ.

Điều này cho thấy mức độ tinh vi cao trong việc che giấu dấu vết của các hoạt động độc hại liên quan đến lỗ hổng CVE này.

Rootkit “Zero Disco” và Cơ chế Duy trì

Khi một thiết bị bị xâm phạm, phần mềm độc hại sẽ cài đặt một rootkit. Rootkit này thiết lập một mật khẩu chung chứa từ “disco”, được cho là một biến thể cố ý một chữ cái của “Cisco”.

Rootkit sau đó chèn nhiều hook vào không gian bộ nhớ IOSd, tạo ra các thành phần backdoor không tập tin. Các backdoor này biến mất sau khi hệ thống khởi động lại nhưng vẫn hoạt động trong quá trình vận hành bình thường.

Chức năng của Rootkit và UDP Controller

Các nhà điều tra cũng phát hiện một thành phần điều khiển UDP được thiết kế để quản lý rootkit từ xa và một công cụ giả mạo ARP được chế tạo đặc biệt cho các Cisco switch.

Công cụ giả mạo ARP này được sử dụng để chuyển hướng lưu lượng truy cập hợp pháp, buộc các hệ thống gốc phải ngoại tuyến, từ đó gây ra gián đoạn dịch vụ và hỗ trợ các hành vi độc hại khác.

Bộ điều khiển UDP cung cấp khả năng quản lý mở rộng, bao gồm bật/tắt lịch sử nhật ký, bỏ qua xác thực AAA và danh sách kiểm soát truy cập VTY (access-control lists).

Nó cũng cho phép sử dụng mật khẩu chung, che giấu các phần của cấu hình đang chạy và đặt lại dấu thời gian để làm cho các thay đổi cấu hình dường như không tồn tại.

Rootkit hoạt động như một trình lắng nghe UDP trên bất kỳ cổng nào được định hướng đến địa chỉ IP của thiết bị mà không yêu cầu mở cổng. Nó ẩn các tên tài khoản cụ thể, tập lệnh EEM và danh sách kiểm soát truy cập khỏi cấu hình đang chạy.

Đây là một ví dụ điển hình về việc khai thác lỗ hổng CVE để thiết lập sự hiện diện lâu dài và khó bị phát hiện.

Mối đe dọa mạng và Kỹ thuật Che giấu

Phương pháp tấn công thể hiện các kỹ thuật xâm nhập mạng tiên tiến, được thiết kế để vượt qua nhiều lớp bảo mật.

Sau khi giành quyền truy cập ban đầu thông qua lỗ hổng SNMP, kẻ tấn công có thể vô hiệu hóa các chức năng ghi nhật ký từ xa.

Chúng còn có thể gán địa chỉ IP waystation cho các cổng kết nối với các vùng được bảo vệ và thực hiện giả mạo ARP để chuyển hướng lưu lượng truy cập hợp pháp.

Sự kết hợp các kỹ thuật này làm tăng độ phức tạp của việc phát hiện xâm nhập và ứng phó với mối đe dọa mạng này. Khả năng che giấu của rootkit biến lỗ hổng CVE thành một công cụ mạnh mẽ để tấn công dai dẳng.

Chỉ số Nhận dạng Sự cố (IOCs)

Dựa trên phân tích kỹ thuật của Operation Zero Disco, các IOC chính bao gồm:

• Mật khẩu chung của Rootkit:disco (được sử dụng sau khi xâm nhập để duy trì quyền truy cập).
• Kỹ thuật che giấu: Sử dụng địa chỉ IP và MAC giả mạo trong quá trình thâm nhập.
• Phát hiện các gói SNMP độc hại: Các gói tin SNMP được chia nhỏ mang các lệnh độc hại.
• Hoạt động trái phép trên IOSd: Phát hiện các hook được chèn vào không gian bộ nhớ IOSd.
• Hoạt động UDP bất thường: Lắng nghe UDP trên các cổng không được cấu hình mở.

Khuyến nghị và Liên hệ

Cisco đã đóng góp phân tích pháp y vào cuộc điều tra về lỗ hổng CVE này.

Các tổ chức được khuyến cáo liên hệ ngay với Cisco TAC nếu nghi ngờ có sự xâm phạm. Điều này giúp đẩy nhanh quá trình điều tra và khắc phục hậu quả.

Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo báo cáo của Trend Micro tại Operation Zero Disco: Cisco SNMP Vulnerability Exploit.