Trend Micro’daki siber güvenlik araştırmacıları, Cisco’nun Basit Ağ Yönetimi Protokolü (SNMP) uygulamasındaki kritik bir güvenlik açığından yararlanan “Sıfır Disko Operasyonu” adlı aktif bir saldırı kampanyası keşfetti.
CVE-2025-20352 olarak takip edilen güvenlik açığı, tehdit aktörlerinin savunmasız ağ cihazlarına uzaktan kod yürütmesine ve karmaşık Linux rootkit’lerini dağıtmasına olanak tanıyor.
Kampanya öncelikle 9400 serisi, 9300 serisi ve modern uç nokta algılama ve yanıt yeteneklerinden yoksun eski 3750G cihazları dahil olmak üzere eski Cisco anahtar modellerini hedefliyor.
| CVE Kimliği | Etkilenen Ürün | Güvenlik Açığı Türü | CVSS 3.1 Puanı | Şiddet |
|---|---|---|---|---|
| CVE-2025-20352 | Cisco IOS XE Yazılımı (32 bit ve 64 bit anahtar yapıları) | Authframework OID’de SNMP Arabellek Taşması | Kaynakta belirtilmemiş | Kritik |
Güvenlik uzmanları, başarılı bir şekilde yararlanmanın, saldırganlara güvenliği ihlal edilmiş sistemlere kalıcı yetkisiz erişim olanağı sağladığı, kötü amaçlı etkinlikleri gizlemelerine ve güvenlik ekipleri tarafından tespit edilmekten kurtulmalarına olanak sağladığı konusunda uyarıyor.
Uzaktan Kod Yürütme Rootkit Dağıtımını Etkinleştirir
CVE-2025-20352, hem 32 bit hem de 64 bit Cisco anahtar yapılarını etkileyerek saldırganların kötü amaçlı SNMP paketleri aracılığıyla uzaktan kod yürütmesine olanak tanıyor.
Bir cihazın güvenliği ihlal edildiğinde, kötü amaçlı yazılım, “Cisco” kelimesinin kasıtlı olarak tek harfli bir varyasyonu olduğuna inanılan “disco” kelimesini içeren evrensel bir şifre oluşturan bir rootkit yükler.
Rootkit daha sonra IOSd bellek alanına birden fazla kanca enjekte ederek, sistem yeniden başlatıldıktan sonra kaybolan ancak normal çalışma sırasında aktif kalan dosyasız arka kapı bileşenleri oluşturur.
Saldırganlar, sızma girişimleri sırasında faaliyetlerini gizlemek için sahte IP adreslerinden ve MAC e-posta adreslerinden yararlandı.
Daha yeni anahtar modelleri, başarılı izinsiz giriş oranlarını azaltmak için Adres Alanı Düzeni Rastgeleleştirmesini (ASLR) içerirken, araştırmacılar tekrarlanan istismar girişimlerinin yine de bu savunmaları ihlal edebileceğini belirtiyor.
Trend Micro araştırmacıları, farklı platform mimarilerini hedef alan, güvenliği ihlal edilmiş Linux sistemlerinden çok sayıda farklı açıkları kurtardı.
Saldırganlar, 32 bit cihazlar için rootkit yükleyebilen SNMP açıklarını ve CVE-2017-3881’i temel alan, rastgele bellek okuma ve yazma işlemlerine olanak tanıyan değiştirilmiş bir Telnet güvenlik açığını dağıttı.
Ağ paketi yakalamaları, kötü amaçlı komutların, yararlanma sınırlamaları nedeniyle birden fazla SNMP paketine bölündüğünü ortaya çıkardı.
64 bit anahtar yapılarında tehdit aktörleri, dosyasız arka kapılar kurmadan önce konuk kabuk işlevini çalıştırmak için 15. düzey ayrıcalık erişimine ihtiyaç duyuyordu.
Kurtarılan bir istismar, bellek eşleme işlevlerini kullanmadan hedef cihazlarda izleme günlük kaydını tamamen devre dışı bırakabilir.
Araştırmacılar ayrıca rootkit’i uzaktan yönetmek için tasarlanmış bir UDP denetleyici bileşeni ve Cisco anahtarları için özel olarak hazırlanmış bir ARP kimlik sahtekarlığı aracı keşfettiler.
Saldırı metodolojisi, birden fazla güvenlik katmanını atlamak için tasarlanmış gelişmiş ağa izinsiz giriş tekniklerini gösterir.
Saldırganlar, SNMP güvenlik açığı aracılığıyla ilk erişimi elde ettikten sonra, günlük tutma işlevlerini uzaktan devre dışı bırakabilir, korunan bölgelere bağlı bağlantı noktalarına ara istasyon IP adresleri atayabilir ve orijinal sistemleri çevrimdışı duruma zorlarken yasal trafiği yeniden yönlendirmek için ARP sahtekarlığı gerçekleştirebilir.
UDP denetleyicisi, günlük geçmişi arasında geçiş yapma, AAA kimlik doğrulamasını ve VTY erişim kontrol listelerini atlama, evrensel parolaları etkinleştirme, çalışan yapılandırmaların bölümlerini gizleme ve yapılandırma değişikliklerinin yokmuş gibi görünmesini sağlamak için zaman damgalarını sıfırlama dahil olmak üzere kapsamlı yönetim yetenekleri sağlar.
Rootkit, belirli hesap adlarını, EEM komut dosyalarını ve erişim kontrol listelerini çalışan yapılandırmalardan gizlerken, açık bağlantı noktaları gerektirmeden aygıt IP adreslerine yönlendirilen herhangi bir bağlantı noktasında bir UDP dinleyicisi olarak işlev görür.
Cisco, soruşturmaya adli analizle katkıda bulunmuştur ve kuruluşların, bir uzlaşmadan şüpheleniliyorsa derhal Cisco TAC ile iletişime geçmeleri istenmektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.