ゼロデイ悪用した攻撃者がルートキット展開のためシスコ製ルーターをハッキング：CVE-2025-20352

佐々山 Tacos

2025.10.20

ゼロデイ悪用した攻撃者がルートキット展開のためシスコ製ルーターをハッキング：CVE-2025-20352

SecurityWeek – October 16, 2025

古いシスコ製デバイスを狙って先月修正されたゼロデイ脆弱性CVE-2025-20352を悪用し、ルートキットを展開する新たなキャンペーン「Operation Zero Disco」について、トレンドマイクロが報告。狙われていたのは、Cisco 9400、9300、およびレガシーシリーズ3750Gのデバイスだったという。

CVE-2025-20352は、IOSおよびIOS XEデバイスのSNMPにおけるスタックオーバーフローの問題で、低い権限の攻撃者がDoS状態を作り出すことを可能にするほか、高い権限の攻撃者に悪用された場合、リモートコード実行（RCE）も可能になるとされる。2025年9月24日公開のシスコのアドバイザリには、それ以前から同脆弱性が悪用されていた旨が記されている。

トレンドマイクロが10月15日に公開したブログ記事によれば、同社はEDRソリューションを使用していない古いLinuxシステムに対する攻撃キャンペーンを観測。攻撃者はCVE-2025-20352を悪用してルートキットを展開し、自らの活動を隠してブルーチームによる調査や検知を掻い潜っていたという。このルートキットは、閉じられているものも含めあらゆるデバイスポートへ送付されるUDPパケットをモニタリングすることから、攻撃者はバックドア機能を設定したり起動させたりすることができる。また同ルートキットはIOSdメモリを改ざんし、ほぼすべての認証メソッドに対して有効なユニバーサルパスワードを設定することも可能。加えてIOSdメモリスペースにフックをインストールすることで、RCEと持続的な不正アクセスを実現する。ユニバーサルパスワードにはCiscoを1文字変更した「disco」という文字列が使用されることから、トレンドマイクロはこのキャンペーンを「Operation Zero Disco」と名付けている。

同キャンペーンでは32ビットと64ビット、両方のシステムが標的になっており、前者への攻撃では悪性SNMPパケットを使って標的デバイスへコマンドが送付され、Telnetの脆弱性CVE-2017-3881に対するエクスプロイトの改変版を使って任意のアドレスにおけるメモリ書き込み・読み取りが行われる。一方で64ビットシステムへの攻撃では、SNMPエクスプロイトを使ってルートキットが展開されたのち、攻撃者はユニバーサルパスワードでログインし、ファイルレスバックドアをデプロイ。ラテラルムーブメントのために異なるVLANへの接続も行われたという。

トレンドマイクロはブログ記事でさらなる技術的詳細を記しているほか、IoCも共有している。