Hackers despliegan rootkits Linux mediante vulnerabilidad SNMP de Cisco en ataques Zero Disco

Investigadores de Trend Micro han descubierto una campaña sofisticada llamada Operation Zero Disco, en la que atacantes explotan una vulnerabilidad crítica en el protocolo SNMP de Cisco (CVE-2025-20352) para instalar rootkits Linux en dispositivos de red vulnerables. Esta falla afecta los modelos Cisco 9400, 9300, y la serie antigua 3750G, permitiendo ejecución remota de código y acceso persistente no autorizado. El rootkit instala una contraseña universal que incluye la palabra "disco" y modifica la memoria IOSd para ocultar su actividad, incluyendo componentes sin archivos que desaparecen tras reinicios. Además, combinan la explotación del SNMP con una variante modificada de una vulnerabilidad Telnet (CVE-2017-3881) para obtener acceso total a memoria y evadir autenticaciones y registros, facilitando el control remoto y la ocultación de cambios. Este ataque se dirige principalmente a equipos con sistemas Linux antiguos que no cuentan con soluciones de detección avanzada, explotando configuraciones por defecto de SNMP que dejan abiertos los dispositivos a intrusiones externas. A pesar de que los modelos más nuevos tienen protecciones como ASLR, seguían siendo susceptibles a ataques repetidos. Cisco ha trabajado en conjunto con los investigadores para definir indicadores de compromiso y mitigar la explotación, recomendando actualizar firmware y deshabilitar servicios SNMP no esenciales. La urgencia es alta ya que la vulnerabilidad está siendo activamente explotada en el ecosistema empresarial, afectando infraestructura crítica de redes. Este caso destaca la persistencia y sofisticación de grupos maliciosos que apuntan a infraestructuras profundas mediante combinaciones de exploits para mantener el acceso furtivo y realizar movimientos laterales dentro de redes corporativas.