Cisco SNMP 0-Day Vulnerability Actively Exploited To Deploy Linux Rootkits
2025/10/15 CyberSecurityNews — Cisco SNMP (Simple Network Management Protocol) の深刻な脆弱性を積極的に悪用する、Operation Zero Disco と呼ばれる高度な攻撃キャンペーンを仕掛ける攻撃者が、脆弱なネットワーク・デバイスに Linux ルートキットをインストールしているという。この攻撃において、脆弱性 CVE-2025-20352 が悪用されていることを、Trend Micro が確認した。この脆弱性を悪用する攻撃者は、リモート・コード実行 (RCE) を可能にし、永続的な不正アクセスにいたるという。主な標的は、最新の保護対策が施されていないレガシーな Cisco スイッチである。
2025年10月の時点において、このキャンペーンは企業ネットワークに影響を与えており、レガシー・インフラの継続的なリスクを浮き彫りにしている。
Cisco のセキュリティ・アドバイザリで説明されている脆弱性は、Cisco IOS XE ソフトウェアの SNMP 認証フレームワークにおけるバッファ・オーバーフローに起因するものだ。攻撃者は細工した SNMP Get-Request パケットを送信してバッファをオーバーフローさせ、32/64-Bit スイッチ・アーキテクチャ上で任意のコード実行を可能にしている。
Operation Zero Disco のマルウェアが動き出すと、”disco” という単語を取り込んだユニバーサル・パスワードを設定するルート・キットが展開される。この名称は Cisco を仄めかすものであり、AAA やローカル・ログインなどの認証方法における広範なアクセス権限を攻撃者に付与する。そのパスワード・メカニズムは IOSd のメモリ空間にフックするものであり、再起動時にも維持されるファイルレスな永続性を確保し、検出を困難にしている。
Cisco の SNMP 脆弱性が悪用される
Trend Micro の調査により明らかになったのは、Telnet の脆弱性 CVE-2017-3881 と Cisco の CVE-2025-20352 を連携させる攻撃者が、メモリの Read/Write 操作に悪用していることだった。レガシーな Cisco 3750G シリーズなどの 32-Bit をターゲットにする場合の、ネットワーク・キャプチャに示されていたのは、パケットあたりのバイト数制限により分断された、”$(ps -a” などの断片化された SNMP パケット・スマグリング・コマンドである。
また、Cisco 9400/9300 シリーズなどの 64-Bit プラットフォームでは、ゲスト・シェルをアクティブ化するために昇格された権限が必要だが、UDP ベースのコントローラによるポスト・エクスプロイト攻撃が可能になる。これらのコントローラは、ログの切り替え/アクセス制御のバイパス/特定の ACL (例: EnaQWklg0) や EEM スクリプト(CiscoEMX-1~5) を隠蔽するなど、コンフィグ変更を隠すことが確認されている。
実際の侵害を模倣したシミュレーションでは、スイッチ上のデフォルトのパブリック SNMP コミュニティを悪用する攻撃者が、セグメント化されたネットワークに侵入することが確認された。この攻撃者は、窃取した認証情報を悪用して外部ファイアウォールを回避し、コアスイッチを標的として VLAN ルーティングを操作し、Linux ELF バイナリを介して ARP スプーフィングとゲストシェルを実行した。
続いて攻撃者は、信頼できるワークステーション IP を偽装することでログ記録を無効化し、トラフィックをリダイレクトし、内部ファイアウォールをトリガーすることなくサーバファームなどの保護ゾーンにアクセスした。さらに攻撃者は、退出時にログとタイムスタンプを復元して痕跡を消去し、DMZ/オフィス/セキュアデータエリア間で検知されないラテラル・ムーブメントを可能にした。
この攻撃は、EDR を導入していない旧式の Linux ベース・システムを標的とし、偽装された IP とメールアドレスを悪用することで匿名性を確保している。新しい ASLR (Address Space Layout Randomization) は一部の攻撃を阻止するが、Trend Micro のテレメトリで確認されているように、持続的なプロービングは依然として成功する可能性がある。
Cisco はフォレンジック調査に協力しており、段階的に廃止された 3750G デバイスと稼働中の 9400/9300 ラインへの影響を確認している。
緩和策
これらの脆弱性を、完全に検出する自動ツールは存在しないという。その一方で、ルートキットが存在する可能性があるため、組織はファームウェアの検査について Cisco TAC に問い合わせる必要がある。Trend Micro は仮想パッチ適用と侵入防御のために、Cloud One Network Security 導入を推奨している。また、UDP コントローラ・トラフィック用の 5497 等の Deep Discovery Inspector ルール導入も推奨している。
Trend Micro の Vision One のユーザーであれば、ハンティング・クエリと IoC スイープを利用し、SNMP オーバーフロー用の 46396 などのルールでエクスプロイトをブロックできる。
ユーザーにとって必要なことは、脆弱性 CVE-2025-20352 へのパッチを速やかに適用し、SNMP を認証済みコミュニティに制限し、レガシー・デバイスをセグメント化することだ。
このキャンペーンが浮き彫りにするのは、パッチ未適用のネットワーク機器の危険性である。国家に支援される脅威やサイバー犯罪が増加しているため、ユーザーにとって必要とされるのは、このアップデートを優先して実施することだ。
Operation Zero Disco キャンペーンの主因は、Cisco SNMP の脆弱性 CVE-2025-20352 と、Telnet の脆弱性 CVE-2017-3881 の連携にあるようです。それに加えて、デフォルト権限や広範な信頼設定/監視不足などが生じ、ファイルレスな永続化やログ改竄を許し、検出を難しくしていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-20352 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.