零迪斯科行动:攻击者利用思科SNMP高危漏洞(CVE-2025-20352)在交换机植入Linux rootkit
内容提要
趋势科技发现攻击者利用思科SNMP漏洞(CVE-2025-20352)在老旧交换机上植入Linux rootkit,实现远程控制和持久化访问。攻击者通过设置通用密码和修改内存绕过认证并隐藏行踪。思科已发布安全公告,建议禁用不必要的SNMP服务并升级固件。
关键要点
-
趋势科技发现攻击者利用思科SNMP漏洞(CVE-2025-20352)在老旧交换机上植入Linux rootkit,实现远程控制和持久化访问。
-
攻击者通过设置通用密码和修改内存绕过认证并隐藏行踪,主要针对思科9400、9300系列及老款3750G交换机。
-
植入的rootkit能够在设备重启后保持驻留,并通过UDP监听器接收隐蔽指令,功能包括通用密码注入、配置项隐藏和日志操控。
-
攻击者利用默认'public'团体字符串入侵SNMP服务,禁用日志记录并实施ARP欺骗劫持网络通信。
-
攻击活动还利用了CVE-2017-3881的改良版本,思科已发布安全公告,建议禁用不必要的SNMP服务并升级固件。
延伸解读
攻击目标与影响
此次攻击主要针对思科9400、9300系列及老款3750G交换机,尤其是那些运行过时Linux系统且缺乏端点检测与响应(EDR)保护的设备。这表明,企业在选择和维护网络设备时,需关注设备的更新与安全性,以防止潜在的安全漏洞被利用。
安全防护建议
思科已发布安全公告,建议企业禁用不必要的SNMP服务并升级固件。这提醒企业在日常管理中,定期审查和更新网络设备的安全配置,及时修补已知漏洞,以降低被攻击的风险。
攻击手法分析
攻击者通过利用默认的'public'团体字符串入侵SNMP服务,显示出网络设备默认设置的安全隐患。企业应重视默认密码的更改和安全策略的实施,以防止攻击者轻易获取初始访问权限。
延伸问答
思科SNMP漏洞(CVE-2025-20352)是什么?
思科SNMP漏洞(CVE-2025-20352)是一种高危漏洞,攻击者可以利用它在易受攻击的思科交换机上植入Linux rootkit,实现远程控制和持久化访问。
攻击者是如何利用思科SNMP漏洞进行攻击的?
攻击者通过设置通用密码和修改内存,利用SNMP漏洞绕过认证,植入rootkit并实现远程控制。
植入的Linux rootkit有哪些功能?
植入的Linux rootkit能够注入通用密码、隐藏配置项、操控日志,并通过UDP监听器接收隐蔽指令。
思科对该漏洞采取了哪些安全措施?
思科发布了安全公告,建议禁用不必要的SNMP服务、修改默认团体字符串并升级固件。
攻击者如何隐藏其入侵痕迹?
攻击者通过禁用日志记录和伪装成受信内网中转设备,来隐藏其入侵痕迹。
CVE-2017-3881漏洞在此次攻击中有什么作用?
CVE-2017-3881漏洞被重新设计,攻击者利用它实现直接内存读写,扩展对设备的控制。