Pesquisadores divulgaram detalhes de uma sofisticada campanha de ataques, chamada de “Zero Disco”, que explorou uma vulnerabilidade recentemente divulgada no Cisco IOS e IOS XE Software. O objetivo era instalar rootkits Linux em sistemas mais antigos e sem proteção adequada.
A operação aproveitou a falha CVE-2025-20352, classificada com pontuação CVSS 7.7, que se trata de um estouro de pilha no subsistema SNMP (Simple Network Management Protocol). A vulnerabilidade permitia que um invasor remoto autenticado executasse código arbitrário enviando pacotes SNMP especialmente manipulados. Até o momento, nenhum hacker ou grupo específico foi formalmente identificado como responsável.
A Cisco corrigiu a falha no final do mês passado, mas a vulnerabilidade já havia sido explorada em ataques reais. De acordo com os pesquisadores Dove Chiu e Lucien Chuang, a ofensiva atingiu principalmente dispositivos legados, como os modelos Cisco 9400, 9300 e a série 3750G, além de tentativas de exploração de uma falha modificada do Telnet (CVE-2017-3881) para acessar memória.
Segundo a Trend Micro, os rootkits permitiam aos hackers executar comandos remotamente e manter acesso persistente, definindo senhas universais e instalando ganchos no daemon Cisco IOS (IOSd), rodando dentro do kernel Linux.
A campanha teve como alvo sistemas Linux mais antigos, frequentemente sem soluções modernas de EDR (detecção e resposta de endpoints), o que facilitou a instalação furtiva dos rootkits. Os invasores também usaram IPs e endereços MAC falsificados para camuflar os ataques.
Além da CVE-2025-20352, os hackers tentaram explorar uma versão modificada da CVE-2017-3881, buscando ler e escrever memória em endereços arbitrários, embora a extensão completa dessa exploração ainda esteja em investigação.
O codinome “Zero Disco” faz referência à senha universal do rootkit, que inclui a palavra “disco”, em alusão à marca Cisco. Apesar de modelos mais recentes possuírem proteção via ASLR (Randomização do Layout do Espaço de Endereço), que reduz a taxa de sucesso, ataques repetidos ainda podem ser eficazes.
O malware, ao instalar ganchos no IOSd, garante que componentes sem arquivo desapareçam após reinicialização, tornando a detecção e resposta ainda mais difíceis.
