Linux-Rootkits durch Cisco-SNMP-Sicherheitslücke: Operation Zero Disco

LONDON (IT BOLTWISE) – Eine neue Cyberangriffskampagne nutzt eine kürzlich entdeckte Sicherheitslücke in Cisco-Software aus, um Linux-Rootkits auf ungeschützten Systemen zu installieren. Diese Angriffe, bekannt als Operation Zero Disco, zielen auf ältere Geräte ab und nutzen eine Schwachstelle im SNMP-Subsystem aus.

Cybersecurity-Experten haben eine neue Angriffskampagne aufgedeckt, die eine kürzlich entdeckte Sicherheitslücke in Cisco IOS Software und IOS XE Software ausnutzt, um Linux-Rootkits auf älteren, ungeschützten Systemen zu installieren. Diese Kampagne, die von Trend Micro als Operation Zero Disco bezeichnet wird, nutzt die Schwachstelle CVE-2025-20352 aus, die eine Stapelüberlauf-Schwachstelle im Simple Network Management Protocol (SNMP) Subsystem darstellt. Diese Schwachstelle ermöglicht es einem authentifizierten, entfernten Angreifer, durch das Senden manipulierter SNMP-Pakete an ein anfälliges Gerät beliebigen Code auszuführen.

Obwohl Cisco die Schwachstelle bereits letzten Monat gepatcht hat, wurde sie zuvor als Zero-Day in realen Angriffen ausgenutzt. Die Angriffe konzentrierten sich hauptsächlich auf Cisco 9400, 9300 und ältere 3750G-Seriengeräte. Zusätzlich versuchten die Angreifer, eine modifizierte Telnet-Schwachstelle auszunutzen, die auf CVE-2017-3881 basiert, um Speicherzugriff zu ermöglichen. Die Rootkits erlaubten es den Angreifern, Remote-Code-Ausführung zu erreichen und durch das Setzen universeller Passwörter und das Installieren von Hooks in den Speicherbereich des Cisco IOS Daemons (IOSd) dauerhaften unautorisierten Zugriff zu erlangen.

Ein bemerkenswerter Aspekt der Angriffe ist, dass sie sich auf Opfer konzentrierten, die ältere Linux-Systeme ohne aktivierte Endpoint-Detection-Response-Lösungen betreiben, was die Installation der Rootkits erleichterte, um unbemerkt zu bleiben. Darüber hinaus sollen die Angreifer gefälschte IPs und Mac-E-Mail-Adressen in ihren Angriffen verwendet haben. Neben CVE-2025-20352 wurden die Bedrohungsakteure auch dabei beobachtet, wie sie versuchten, eine Telnet-Schwachstelle auszunutzen, die eine modifizierte Version von CVE-2017-3881 ist, um Lese-/Schreibzugriff auf beliebige Adressen zu ermöglichen.

Der Name “Zero Disco” bezieht sich darauf, dass das implantierte Rootkit ein universelles Passwort setzt, das das Wort “disco” enthält – eine einbuchstabige Änderung von “Cisco”. Die Malware installiert dann mehrere Hooks auf dem IOSd, was dazu führt, dass dateilose Komponenten nach einem Neustart verschwinden. Neuere Switch-Modelle bieten durch Address Space Layout Randomization (ASLR) einen gewissen Schutz, der die Erfolgsrate von Einbruchsversuchen verringert; es sollte jedoch beachtet werden, dass wiederholte Versuche dennoch erfolgreich sein können.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player

31,84 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer

17,84 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku

79,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

169,00 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!