Tehdit aktörlerinin, savunmasız ağ cihazlarına Linux rootkit’lerini yüklemek için kritik bir Cisco Basit Ağ Yönetimi Protokolü (SNMP) güvenlik açığından aktif olarak yararlandığı “Sıfır Disko Operasyonu” adı verilen karmaşık bir saldırı kampanyası.
Trend Micro, uzaktan kod yürütmeye (RCE) izin veren ve öncelikle modern korumalara sahip olmayan eski Cisco anahtarlarını hedef alan kalıcı yetkisiz erişim sağlayan CVE-2025-20352’yi kullanan bir işlem gözlemledi.
Ekim 2025 itibarıyla kampanya, kurumsal ağları etkileyerek eski altyapıda devam eden riskleri ortaya çıkardı.
Cisco’nun güvenlik danışma belgesinde ayrıntıları verilen temel kusur, Cisco IOS XE Yazılımındaki SNMP kimlik doğrulama çerçevesindeki arabellek taşmasından kaynaklanmaktadır.
Saldırganlar, ara belleğin taşması için hazırlanmış SNMP Get-Request paketleri göndererek hem 32 bit hem de 64 bit anahtar mimarilerinde rastgele kod yürütülmesine olanak tanır.
Kötü amaçlı yazılım, bir kez istismar edildiğinde, “disco” terimini içeren evrensel bir parola ayarlayan ve “Cisco”ya hafif bir gönderme yapan bir rootkit dağıtarak saldırganlara AAA ve yerel oturum açma gibi kimlik doğrulama yöntemlerine geniş erişim hakkı veriyor.
Bu parola mekanizması, IOSd bellek alanına bağlanarak, yeniden başlatma sırasında ortadan kaybolan ve algılamayı zorlaştıran dosyasız kalıcılık sağlar.
Cisco SNMP Güvenlik Açığı Aktif Olarak Kullanılıyor
Trend Micro’nun araştırması, saldırganların bunu CVE-2017-3881’den türetilen ve doğrudan RCE yerine bellek okuma/yazma işlemleri için yeniden tasarlanmış değiştirilmiş bir Telnet güvenlik açığıyla zincirlediğini ortaya çıkardı.
Eski Cisco 3750G serisi gibi 32 bitlik hedefler için ağ yakalamaları, paket başına bayt kısıtlamalarıyla sınırlı “$(ps -a” gibi) parçalanmış SNMP paketleri kaçakçılığı komutları gösterdi.
Cisco 9400 ve 9300 serisi de dahil olmak üzere 64 bit platformlarda, istismarlar konuk kabuklarını etkinleştirmek için yükseltilmiş ayrıcalıklar gerektirir ve bu da gelişmiş kullanım sonrası için UDP tabanlı denetleyicilere olanak tanır.
Bu denetleyiciler günlükleri değiştirir, erişim kontrollerini atlar ve belirli ACL’leri (örneğin, EnaQWklg0) veya EEM komut dosyalarını (CiscoEMX-1’den 5’e kadar) gizlemek gibi yapılandırma değişikliklerini gizler.
Gerçek dünyadaki ihlalleri yansıtan simüle edilmiş senaryolarda saldırganlar, anahtarlardaki varsayılan genel SNMP topluluklarından yararlanarak bölümlenmiş ağlara sızıyor.
Çalınan kimlik bilgilerini kullanarak harici güvenlik duvarlarını atlıyorlar, ardından VLAN yönlendirmesini değiştirmek için çekirdek anahtarları hedef alıyorlar ve konuk kabuklarda çalıştırılan Linux ELF ikili dosyaları aracılığıyla ARP sahtekarlığı gerçekleştiriyorlar.
Davetsiz misafirler, güvenilen ara istasyon IP’lerini taklit ederek günlüğe kaydetmeyi devre dışı bırakır, trafiği yeniden yönlendirir ve dahili güvenlik duvarlarını tetiklemeden sunucu grupları gibi korumalı bölgelere erişir.
Çıkışta izleri silmek için günlükleri ve zaman damgalarını geri yüklerler, böylece DMZ’ler, ofisler ve güvenli veri alanları arasında fark edilmeyen yanal hareketleri kolaylaştırırlar.
Kampanya, uç nokta algılama ve yanıt (EDR) araçları olmayan, anonimlik için sahte IP’ler ve e-posta adresleri kullanan eski Linux tabanlı sistemlere odaklanıyor.
Daha yeni modellerdeki Adres Alanı Düzeni Rastgeleleştirmesi (ASLR) bazı girişimleri engellese de, Trend Micro telemetrisinde gözlemlendiği gibi kalıcı araştırma yine de başarılı olabilir.
Cisco, adli tıp konusunda iş birliği yaparak aktif 9400 ve 9300 hatlarının yanı sıra aşamalı olarak kullanımdan kaldırılan 3750G cihazları üzerindeki etkileri doğruladı.
Azaltmalar
Hiçbir otomatik araç bu rootkit’leri tam olarak tespit edemez, bu nedenle kuruluşların ürün yazılımı incelemeleri için Cisco TAC ile iletişime geçmesi gerekir.
Trend Micro, UDP denetleyici trafiği için 5497 gibi Deep Discovery Inspector kurallarının yanı sıra sanal yama uygulama ve izinsiz girişleri önlemek için Cloud One Network Security’nin dağıtılmasını önerir.
Vision One müşterileri, SNMP taşmaları için 46396 gibi kurallar aracılığıyla açıklardan yararlanmaları engelleyerek arama sorguları ve IoC taramaları elde eder.
CVE-2025-20352’ye derhal yama uygulanması, SNMP’nin kimliği doğrulanmış topluluklarla sınırlandırılması ve eski cihazların bölümlere ayrılması kritik adımlardır.
Bu operasyon, yama yapılmamış ağ donanımının tehlikelerinin altını çiziyor ve devlet destekli ve siber suç tehditlerinin arttığı bir ortamda işletmeleri güncellemelere öncelik vermeye teşvik ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
