Iscriviti ora al Webinar di presentazione del corso Ethical Hacker! Scopri di più
Iscriviti ora al Webinar di presentazione del corso CISO! Scopri di più
Una nuova campagna di attacchi informatici, denominata Operation Zero Disco, sta sfruttando una vulnerabilità critica nei sistemi Cisco IOS e IOS XE per installare rootkit Linux su dispositivi non protetti. La vulnerabilità, identificata come CVE-2025-20352 con un punteggio CVSS di 7.7, riguarda il protocollo SNMP (Simple Network Management Protocol). Un attaccante remoto autenticato può sfruttare questa falla inviando pacchetti SNMP appositamente confezionati per eseguire codice arbitrario sul dispositivo bersaglio.
La vulnerabilità è stata corretta da Cisco, ma diversi dispositivi sono stati compromessi prima del rilascio della patch, quando ancora la falla era uno zero-day sconosciuto e non risolto. I dispositivi più colpiti risultano essere della serie Cisco 9400, 9300 e i legacy 3750G. Gli attaccanti hanno anche tentato di sfruttare una variante modificata di una vecchia vulnerabilità Telnet (CVE-2017-3881) per ottenere accesso alla memoria dei dispositivi.
Il rootkit installato dagli attaccanti fornisce la possibilità di eseguire codice da remoto e di mantenere l’accesso persistente, modificando la memoria del processo IOSd all’interno del kernel Linux. In particolare, i criminali sono in grado di impostare una password universale, aggirare i sistemi di autenticazione AAA, alterare le configurazioni e nascondere le modifiche apportate, manipolando anche i timestamp per mascherare le attività malevole.
Un elemento distintivo della campagna Zero Disco è il targeting di sistemi Linux datati, privi di soluzioni di endpoint detection avanzate, consentendo così al rootkit di rimanere nascosto. Gli attacchi vengono orchestrati utilizzando IP e indirizzi email Mac falsificati per complicare la tracciabilità.
Il rootkit opera tramite un controller UDP, capace di ascoltare pacchetti su qualsiasi porta, disabilitare la cronologia dei log, creare password universali modificando la memoria e nascondere parti di configurazione attiva. Inoltre, le versioni più recenti degli switch Cisco offrono una certa protezione grazie all’implementazione di Address Space Layout Randomization (ASLR), che però non elimina del tutto il rischio, dato che tentativi ripetuti potrebbero comunque avere successo.
Il nome Zero Disco deriva dal fatto che la password universale creata dal rootkit contiene la parola “disco”, una modifica di una sola lettera rispetto a “Cisco”. Questa campagna dimostra come le vulnerabilità nei dispositivi di rete restino uno dei principali vettori di attacco verso infrastrutture critiche e sottolinea l’importanza di mantenere sempre aggiornati i dispositivi con le ultime patch di sicurezza.
Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.