思科SNMP高危漏洞遭野外利用,可导致RCE并植入Linux rootkit(CVE-2025-20352)
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
“零舞会”攻击活动利用Cisco SNMP漏洞(CVE-2025-20352),通过Linux rootkit控制网络设备。攻击者通过特制数据包触发缓冲区溢出,实现远程代码执行,主要针对旧版Cisco交换机。建议企业修补漏洞、限制SNMP访问并隔离遗留设备,以应对潜在威胁。
🎯
关键要点
- 攻击活动名为'Operation Zero Disco',利用Cisco SNMP漏洞(CVE-2025-20352)控制网络设备。
- 该漏洞允许远程代码执行,主要针对旧版Cisco交换机,企业网络已遭受攻击。
- 漏洞源于Cisco IOS XE软件的SNMP认证框架,攻击者通过特制数据包触发缓冲区溢出。
- 恶意软件部署包含通用密码'disco'的rootkit,攻击者可广泛访问系统。
- 攻击者利用SNMP共同体字符串渗透隔离网络,绕过外部防火墙并操纵VLAN路由。
- 入侵者可在不触发内部防火墙警报的情况下访问受保护区域,并恢复日志以消除痕迹。
- 建议企业修补CVE-2025-20352漏洞,限制SNMP访问并隔离遗留设备。
- 推荐使用Cloud One Network Security进行虚拟补丁和入侵防御,启用Deep Discovery Inspector监测流量。
- 企业需优先落实系统更新,以应对国家支持攻击和网络犯罪的威胁。
❓
延伸问答
CVE-2025-20352漏洞的主要影响是什么?
该漏洞允许攻击者通过远程代码执行控制旧版Cisco交换机,可能导致网络设备被植入Linux rootkit。
攻击者是如何利用CVE-2025-20352漏洞的?
攻击者通过构造特制的SNMP Get-Request数据包触发缓冲区溢出,从而实现任意代码执行。
企业应如何应对CVE-2025-20352漏洞?
企业应立即修补漏洞,限制SNMP访问,并对遗留设备进行网络隔离。
什么是'Operation Zero Disco'攻击活动?
'Operation Zero Disco'是利用Cisco SNMP漏洞进行的攻击活动,旨在控制网络设备并植入恶意软件。
攻击者如何绕过网络防火墙?
攻击者利用窃取的SNMP共同体字符串绕过外部防火墙,并操纵核心交换机的VLAN路由。
CVE-2025-20352漏洞的根本原因是什么?
漏洞源于Cisco IOS XE软件的SNMP认证框架中的缓冲区溢出问题。
➡️
