Siber güvenlik araştırmacıları, Linux rootkit’lerini eski, korumasız sistemlere dağıtmak için Cisco IOS Yazılımını ve IOS XE Yazılımını etkileyen, yakın zamanda açıklanan bir güvenlik kusurundan yararlanan yeni bir kampanyanın ayrıntılarını açıkladı.
Kod adı verilen etkinlik Sıfır Disko Operasyonu Trend Micro tarafından geliştirilen bu saldırı, Basit Ağ Yönetimi Protokolü (SNMP) alt sisteminde kimliği doğrulanmış, uzaktaki bir saldırganın hazırlanmış SNMP paketlerini duyarlı bir cihaza göndererek rasgele kod yürütmesine olanak tanıyan bir yığın taşması güvenlik açığı olan CVE-2025-20352’nin (CVSS puanı: 7,7) silah haline getirilmesini içerir. İzinsiz girişlerin bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmediği belirtildi.
Eksiklik geçen ayın sonlarında Cisco tarafından düzeltildi, ancak daha önce gerçek dünya saldırılarında sıfır gün olarak kullanılmadı.
Araştırmacılar Dove Chiu ve Lucien Chuang, “Operasyon öncelikli olarak Cisco 9400, 9300 ve eski 3750G serisi cihazları etkiledi; ayrıca bellek erişimini etkinleştirmek için değiştirilmiş bir Telnet güvenlik açığından (CVE-2017-3881’e dayalı) yararlanmaya yönelik ek girişimler de yaşandı.” dedi.
Siber güvenlik şirketi ayrıca, rootkit’lerin saldırganların uzaktan kod yürütmesine ve evrensel parolalar ayarlayarak ve Cisco IOS arka plan programı (IOSd) bellek alanına kancalar yerleştirerek kalıcı yetkisiz erişim elde etmesine olanak tanıdığını da belirtti. IOSd, Linux çekirdeğinde bir yazılım süreci olarak çalıştırılır.
Saldırıların bir diğer dikkate değer yönü, uç nokta algılama yanıt çözümlerinin etkin olmadığı eski Linux sistemlerini çalıştıran kurbanları seçip, radarın altından uçmak için rootkit’lerin dağıtılmasını mümkün kılmasıdır. Ayrıca saldırganın izinsiz girişlerde sahte IP’ler ve Mac e-posta adresleri kullandığı söyleniyor.
CVE-2025-20352’nin yanı sıra tehdit aktörlerinin, CVE-2017-3881’in değiştirilmiş bir versiyonu olan Telnet güvenlik açığından yararlanarak rastgele adreslerde bellek okuma/yazmasına izin vermeye çalıştığı da gözlemlendi. Ancak işlevselliğin kesin doğası belirsizliğini koruyor.
“Zero Disco” adı, implante edilen rootkit’in, içinde “disco” kelimesini içeren evrensel bir şifre belirlediği gerçeğine bir göndermedir; “Cisco”dan tek harflik bir değişiklik.
Araştırmacılar, “Kötü amaçlı yazılım daha sonra IOSd’ye birkaç kanca yüklüyor ve bu da dosyasız bileşenlerin yeniden başlatmanın ardından kaybolmasına neden oluyor” dedi. “Daha yeni anahtar modelleri, izinsiz giriş girişimlerinin başarı oranını azaltan Adres Alanı Düzeni Rastgeleleştirme (ASLR) yoluyla bir miktar koruma sağlıyor; ancak tekrarlanan girişimlerin yine de başarılı olabileceği unutulmamalıdır.”