零迪斯科行动:攻击者利用思科SNMP高危漏洞(CVE-2025-20352)在交换机植入Linux rootkit
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
趋势科技发现攻击者利用思科SNMP漏洞(CVE-2025-20352)在老旧交换机上植入Linux rootkit,实现远程控制和持久化访问。攻击者通过设置通用密码和修改内存绕过认证并隐藏行踪。思科已发布安全公告,建议禁用不必要的SNMP服务并升级固件。
🎯
关键要点
- 趋势科技发现攻击者利用思科SNMP漏洞(CVE-2025-20352)在老旧交换机上植入Linux rootkit,实现远程控制和持久化访问。
- 攻击者通过设置通用密码和修改内存绕过认证并隐藏行踪,主要针对思科9400、9300系列及老款3750G交换机。
- 植入的rootkit能够在设备重启后保持驻留,并通过UDP监听器接收隐蔽指令,功能包括通用密码注入、配置项隐藏和日志操控。
- 攻击者利用默认'public'团体字符串入侵SNMP服务,禁用日志记录并实施ARP欺骗劫持网络通信。
- 攻击活动还利用了CVE-2017-3881的改良版本,思科已发布安全公告,建议禁用不必要的SNMP服务并升级固件。
❓
延伸问答
思科SNMP漏洞(CVE-2025-20352)是什么?
思科SNMP漏洞(CVE-2025-20352)是一种高危漏洞,攻击者可以利用它在易受攻击的思科交换机上植入Linux rootkit,实现远程控制和持久化访问。
攻击者是如何利用思科SNMP漏洞进行攻击的?
攻击者通过设置通用密码和修改内存,利用SNMP漏洞绕过认证,植入rootkit并实现远程控制。
植入的Linux rootkit有哪些功能?
植入的Linux rootkit能够注入通用密码、隐藏配置项、操控日志,并通过UDP监听器接收隐蔽指令。
思科对该漏洞采取了哪些安全措施?
思科发布了安全公告,建议禁用不必要的SNMP服务、修改默认团体字符串并升级固件。
攻击者如何隐藏其入侵痕迹?
攻击者通过禁用日志记录和伪装成受信内网中转设备,来隐藏其入侵痕迹。
CVE-2017-3881漏洞在此次攻击中有什么作用?
CVE-2017-3881漏洞被重新设计,攻击者利用它实现直接内存读写,扩展对设备的控制。
➡️
