Una vulnerabilidad crítica en el protocolo SNMP de Cisco IOS e IOS XE permitió a atacantes desplegar rootkits en equipos de red, comprometiendo switches y sistemas Linux sin protección EDR. La campaña, bautizada como “Operación Zero Disco”, preocupa por su sofisticación y alcance.
Una reciente investigación de Trend Micro ha constatado que un grupo de atacantes explotó la vulnerabilidad CVE-2025-20352 en una campaña dirigida a dispositivos de red Cisco y que aprovecha esta falla, la cual fue corregida a finales del mes de septiembre. La vulnerabilidad permite ejecutar código remoto (RCE) en equipos con IOS e IOS XE, e instalar rootkits en sistemas Linux más antiguos que carecen de soluciones de detección y respuesta en endpoints (EDR).
La falla, que reside en el subsistema del Simple Network Management Protocol (SNMP), puede ser explotada mediante el envío de paquetes especialmente diseñados a dispositivos vulnerables, tanto en redes IPv4 como IPv6. Si el atacante ya cuenta con privilegios administrativos, la explotación puede derivar en control total del sistema. Cisco confirmó en una actualización el 6 de octubre, que el fallo fue utilizado como zero-day, es decir, antes de que existiera un parche disponible.
En su informe, Trend Micro denominó esta campaña como “Operación Zero Disco”, ya que el malware establece una contraseña universal que contiene la palabra “disco”. Los investigadores determinaron que los ataques afectaron a dispositivos Cisco 9400, 9300 y la serie 3750G, e incluso incluyeron intentos de aprovechar una vulnerabilidad antigua (CVE-2017-3881) para obtener acceso a memoria arbitraria.
El rootkit implantado otorga a los atacantes un control profundo sobre los equipos comprometidos. Una vez desplegado, instala varios hooks en el proceso IOSd, lo que hace que los componentes del malware desaparezcan tras un reinicio, dificultando su detección. Además, incorpora un controlador UDP que permite manipular registros, desactivar autenticaciones, ocultar configuraciones y restablecer marcas de tiempo de modificaciones, para que los cambios parezcan inexistentes.
“El controlador UDP puede eliminar registros, omitir listas de control de acceso (ACLs) y habilitar o desactivar una contraseña universal”, explicó Trend Micro en su reporte. En pruebas controladas, los investigadores demostraron que el ataque permite también realizar ARP spoofing, lo que posibilita interceptar tráfico y moverse lateralmente entre VLANs.
Aunque los modelos más recientes de switches Cisco cuentan con mecanismos de protección como la aleatorización del espacio de direcciones (ASLR), los investigadores advirtieron que ataques persistentes podrían igualmente comprometerlos. “Las nuevas versiones reducen la tasa de éxito, pero no eliminan el riesgo”, subrayaron.
Cisco instó a sus clientes a verificar la exposición de sus equipos mediante el Cisco Software Checker o el formulario incluido en su aviso de seguridad. La empresa también reiteró la importancia de instalar las actualizaciones publicadas y contactar al Cisco Technical Assistance Center (TAC) si se sospecha una intrusión.
Trend Micro agregó que no existe, por el momento, una herramienta automatizada capaz de detectar de manera confiable un switch Cisco comprometido por esta operación. La única forma de confirmarlo sería un análisis de bajo nivel del firmware y las regiones ROM del dispositivo.
Este ataque se suma a una tendencia de los grupos de amenazas que buscan explotar vulnerabilidades en dispositivos de red y sistemas de gestión para establecer persistencia y evadir controles tradicionales. En este caso, la campaña combinó técnicas avanzadas de ocultamiento, ingeniería inversa de protocolos y explotación de fallas antiguas y nuevas en paralelo.
Los investigadores que analizaron “Zero Disco” también publicaron indicadores de compromiso (IoC) asociados a la operación maliciosa.