آسیب‌پذیری SNMP سیسکو

مهاجمان سایبری از آسیب‌پذیری SNMP در Cisco برای نصب Rootkitهای لینوکسی سوءاستفاده می‌کنند

مقدمه

پژوهشگران امنیتی شرکت Trend Micro جزئیات یک کارزار سایبری پیچیده با نام Operation Zero Disco را منتشر کردند که در آن مهاجمان با سوءاستفاده از یک آسیب‌پذیری تازه در سیستم‌عامل‌های Cisco IOS و IOS XE موفق شده‌اند کنترل زیرساخت‌های شبکه قدیمی را در دست گرفته و Rootkitهای لینوکسی روی آن‌ها نصب کنند.

این آسیب‌پذیری با شناسه CVE-2025-20352 و امتیاز CVSS 7.7 شناسایی شده است و در بخش Simple Network Management Protocol (SNMP) رخ می‌دهد.
مهاجمان با ارسال بسته‌های SNMP دستکاری‌شده به دستگاه‌های آسیب‌پذیر، می‌توانند کد مخرب با سطح دسترسی Root اجرا کنند.

 جزئیات فنی آسیب‌پذیری CVE-2025-20352

سیستم SNMP یکی از اجزای حیاتی در مدیریت و پایش شبکه است و معمولاً دسترسی عمیقی به منابع سیستمی دارد.
در این حمله، آسیب‌پذیری ناشی از Stack Overflow در ماژول SNMP است که باعث می‌شود مهاجم بتواند با دسترسی SNMP سطح پایین یا حتی عمومی، حمله خود را آغاز کند.

بر اساس گزارش Cisco PSIRT، این نقص در حال حاضر به‌صورت فعال در فضای واقعی (In the Wild) مورد سوءاستفاده قرار گرفته است و هدف اصلی آن‌ها تجهیزات قدیمی است که هنوز وصله امنیتی دریافت نکرده‌اند.

 تمرکز حمله بر روی چه دستگاه‌هایی است؟

تحقیقات Trend Micro نشان می‌دهد که مهاجمان بیشتر روی مدل‌های قدیمی Cisco Catalyst متمرکز هستند، از جمله:

• Cisco Catalyst 9400

• Cisco Catalyst 9300

• Cisco Catalyst 3750G (مدل‌های End-of-Life)

در این کارزار، مهاجمان علاوه بر بهره‌گیری از نقص جدید SNMP، از نسخه تغییریافته آسیب‌پذیری Telnet (CVE-2017-3881) نیز برای دسترسی به حافظه استفاده کرده‌اند.
ترکیب این دو اکسپلویت منجر به نصب Rootkitهای لینوکسی سفارشی می‌شود که در سیستم باقی مانده و حتی پس از ریستارت نیز فعال می‌مانند.

 رفتار و قابلیت‌های Rootkit شناسایی‌شده

پس از آلوده‌سازی، بدافزار اقدام به نصب یک رمز عبور مخفی جهانی شامل عبارت “disco” (اشاره‌ای به Cisco) در سیستم می‌کند.
این رمز به مهاجمان اجازه می‌دهد بدون ایجاد کاربر جدید، مجدداً وارد سیستم شوند.

ویژگی‌های کلیدی این Rootkit عبارت‌اند از:

• پایداری پس از ریبوت: با نصب Hook در فرآیند IOSd، بدافزار پس از هر بار راه‌اندازی مجدداً فعال می‌شود.

• محو ردپا (Fileless Persistence): کدهای مخرب در حافظه قرار می‌گیرند و در دیسک قابل شناسایی نیستند.

• مخفی‌سازی فعالیت‌ها: حذف لاگ‌ها، تغییر زمان رویدادها و پنهان کردن اسکریپت‌های مدیریتی (EEM Scripts) و ACLها.

• کنترل از راه دور (C2): فعال‌سازی Listener بر روی پورت‌های UDP تصادفی برای دریافت دستورات بدون نیاز به باز بودن پورت خاص در فایروال.

 روش‌های نفوذ و گسترش در شبکه

مهاجمان معمولاً با اسکن گسترده شبکه‌های سازمانی، تجهیزات دارای SNMP فعال با نام‌های عمومی مانند “public” یا “private” را شناسایی می‌کنند.
سپس با استفاده از حمله زنجیره‌ای (Chained Exploits) ابتدا به سوئیچ‌های مرکزی (Core Switches) نفوذ کرده و از طریق تغییر مسیرهای VLAN و جدول‌های مسیریابی، به بخش‌های دیگر شبکه دسترسی پیدا می‌کنند.

در برخی موارد، مهاجمان با ایجاد تعارض IP موقت (IP Conflict)، خود را به‌عنوان دستگاه قابل‌اعتماد معرفی کرده و ترافیک را از دیواره آتش داخلی عبور می‌دهند.
پس از پایان عملیات، تنظیمات شبکه را به حالت اولیه بازمی‌گردانند تا هیچ اثری از نفوذ باقی نماند.

 ابزارهای مورداستفاده در عملیات

در جریان بررسی‌های فارنزیک، تحلیلگران Trend Micro ابزارهای زیر را در تجهیزات آلوده شناسایی کرده‌اند:

• UDP Controller: برای اجرای فرمان از راه دور.

• ARP Spoofing Utility: جهت تغییر مسیر ترافیک و شنود داده‌ها.

• Memory Hook Injector: برای تزریق کد به حافظه بدون نوشتن فایل روی دیسک.

• IOSd Hook Modules: برای مخفی‌سازی فرآیندها و حساب‌های مدیریتی.

 اقدامات پیشگیرانه و توصیه‌های امنیتی

برای جلوگیری از نفوذ در عملیات مشابه Zero Disco، کارشناسان RootNet توصیه می‌کنند:

1. به‌روزرسانی فوری سیستم‌عامل Cisco IOS / IOS XE به آخرین نسخه.

2. غیرفعال‌سازی SNMP در دستگاه‌هایی که به آن نیاز ندارند.

3. استفاده از SNMPv3 به‌جای نسخه‌های قدیمی‌تر که رمزگذاری ندارند.

4. تغییر نام‌های عمومی (Community Strings) مانند “public” و “private”.

5. پیاده‌سازی Network Segmentation برای جداسازی سوئیچ‌ها و روترهای حیاتی.

6. مانیتورینگ ترافیک غیرعادی UDP یا ARP در شبکه داخلی.

7. بررسی تجهیزات قدیمی و جایگزینی سخت‌افزارهای End-of-Life که دیگر پشتیبانی امنیتی دریافت نمی‌کنند.

 شاخص‌های آلودگی (IoCs)

Trend Micro شاخص‌های فنی آلودگی را منتشر کرده است، از جمله:

• وجود رمز عبور شامل عبارت “disco” در تنظیمات مخفی

• برقراری اتصال غیرعادی UDP از پورت‌های تصادفی

• تغییرات مشکوک در جدول‌های ARP یا VLAN

• وجود Hookهای ناشناخته در فرآیند IOSd

(می‌توانید لیست کامل IoCها را از طریق پایگاه داده تهدید RootNet یا وب‌سایت Trend Micro بررسی کنید.)

 تحلیل نهایی

حمله Operation Zero Disco نشان‌دهنده مرحله جدیدی از پیشرفت مهاجمان در نفوذ به لایه شبکه (Network Layer) است.
در حالی‌که بسیاری از سازمان‌ها تمرکز خود را بر امنیت Endpointها گذاشته‌اند، دستگاه‌های زیرساختی مانند سوئیچ‌ها و روترها غالباً از دید ابزارهای امنیتی پنهان می‌مانند.

مهاجمان با هدف قرار دادن این بخش، موفق شده‌اند به مدت طولانی در شبکه‌های سازمانی حضور پنهان داشته باشند بدون اینکه توسط EDR یا SIEM شناسایی شوند.