零迪斯科行动:攻击者利用思科SNMP高危漏洞(CVE-2025-20352)在交换机植入Linux rootkit
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
趋势科技发现攻击者利用思科SNMP漏洞(CVE-2025-20352)在老旧交换机上植入Linux rootkit,实现远程控制和持久化访问。攻击者通过设置通用密码和修改内存绕过认证并隐藏行踪。思科已发布安全公告,建议禁用不必要的SNMP服务并升级固件。
🎯
关键要点
- 趋势科技发现攻击者利用思科SNMP漏洞(CVE-2025-20352)在老旧交换机上植入Linux rootkit,实现远程控制和持久化访问。
- 攻击者通过设置通用密码和修改内存绕过认证并隐藏行踪,主要针对思科9400、9300系列及老款3750G交换机。
- 植入的rootkit能够在设备重启后保持驻留,并通过UDP监听器接收隐蔽指令,功能包括通用密码注入、配置项隐藏和日志操控。
- 攻击者利用默认'public'团体字符串入侵SNMP服务,禁用日志记录并实施ARP欺骗劫持网络通信。
- 攻击活动还利用了CVE-2017-3881的改良版本,思科已发布安全公告,建议禁用不必要的SNMP服务并升级固件。
➡️
