Dispositivos antigos comprometidos por rootkit após falha zero day

Os dispositivos Cisco mais antigos e que não tenham recebido correções para uma recente vulnerabilidade de zero day foram recentemente infetados com um rootkit numa nova campanha.

A revelação foi feita pela Trend Micro, que aponta para uma vulnerabilidade, rastreada como CVE-2025-20352, corrigida no final de setembro.

O caso envolve um problema de stack overflow no Simple Network Management Protocol (SNMP) de dispositivos IOS e IOS XE. De acordo com a SecurityWeek, o bug permite que cibercriminosos com baixos privilégios provoquem uma condição de negação de serviço, levando à exploração por parte de invasores com elevados privilégios de execução remota de código.

“A operação teve como alvo vítimas que executavam sistemas Linux mais antigos que não possuem soluções de resposta de detecção de endpoint, onde implantaram rootkits Linux para ocultar atividades e evitar a investigação e deteção de blue team”, revela a Trend Micro, citada pela SecurityWeek.

Designada como operação ZeroDisco, a campanha passou pela exploração da vulnerabilidade para implementar um rootkit em dispositivos de rede mais antigos e, por isso, mais vulneráveis. De acordo com a Trend Micro, o rootkit monitoriza os pacotes UDP enviados para qualquer porta do dispositivo, permitindo que os cibercriminosos configurem ou acionem funções de backdoor.

Em caso de suspeita de um switch afetado, a Trend Micro recomenda entrar em contato com o Cisco TAC imediatamente e pedir ao fornecedor para ajudar com uma investigação.