Operation Zero Disco explora dispositivos Cisco

Uma nova campanha de ataques, denominada “Operation Zero Disco”, está explorando ativamente uma vulnerabilidade crítica de zero-day no protocolo SNMP de dispositivos Cisco para instalar rootkits Linux em equipamentos de rede vulneráveis. O ataque tira proveito da falha CVE-2025-20352, que permite execução remota de código e acesso não autorizado persistente, especialmente em switches Cisco antigos que não possuem proteções modernas.

Leia também
Isca usando o nome “Amazon Prime Day” em 727 domínios
Brasil tem 80% dos ataques de trojan bancários da América Latina

O problema está em um buffer overflow no mecanismo de autenticação SNMP do Cisco IOS XE, permitindo que pacotes SNMP manipulados ultrapassem o limite de memória e executem comandos arbitrários tanto em arquiteturas 32 quanto 64 bits. Após a exploração, o rootkit estabelece uma senha universal contendo “disco”, dando aos invasores acesso total por diferentes métodos de autenticação – senha essa que persiste apenas na memória até o próximo reboot.

Segundo a Trend Micro, o ataque pode ser combinado com uma vulnerabilidade modificada de Telnet (derivada do CVE-2017-3881), facilitando operações de leitura e escrita na memória dos switches. Os invasores manipulam VLANs, realizam spoofing de ARP e acessam zonas protegidas sem gerar alertas, utilizando estratégias para ocultar registros e alterações de configuração.

A campanha foca em dispositivos antigos, sem ferramentas de detecção e resposta instaladas, tornando a identificação dos rootkits difícil. Mesmo mecanismos de proteção em modelos mais recentes como ASLR não impedem ataques persistentes. O resultado é movimentação lateral invisível, adulteração de logs e acesso a áreas críticas de redes corporativas.

Organizações afetadas devem buscar suporte especializado para auditoria dos firmwares e priorizar a aplicação imediata do patch CVE-2025-20352, além de restringir o acesso SNMP apenas a comunidades autenticadas e isolar dispositivos legados. O caso reforça os riscos de manter infraestrutura desatualizada diante do aumento de ameaças cibernéticas sofisticadas.