Cisco SNMP zaifligidan foydalangan holda Linux rootkitlar tarqatilmoqda: “Operation Zero Disco” hujumi tahlili

2025-yil oktyabr oyida kiberxavfsizlik mutaxassislari “Operation Zero Disco” nomli murakkab kiberhujumni aniqlashdi. Bu kampaniya davomida tajovuzkorlar Cisco’ning Simple Network Management Protocol (SNMP) tizimidagi yangi aniqlangan CVE-2025-20352 raqamli 0-day zaifligidan faol foydalanib, tarmoqqa ulangan qurilmalarga zararli Linux rootkit dasturlarini o‘rnatishmoqda.

Zaiflikning mohiyati

Trend Micro tadqiqotlariga ko‘ra, ushbu zaiflik Cisco IOS XE Software operatsion tizimida joylashgan bo‘lib, u SNMP autentifikatsiya mexanizmidagi bufer to‘lib ketishi (buffer overflow) oqibatida yuzaga keladi. Hujumchi maxsus shakllantirilgan SNMP so‘rov paketlarini yuborish orqali tizim xotirasini ortiqcha ma’lumot bilan to‘ldirib, masofadan kod bajarish (RCE) imkoniyatini qo‘lga kiritadi.

Bu orqali zararli dastur qurilmaning ichki tizimiga kirib, rootkit o‘rnatadi. Ushbu rootkit o‘zida “disco” so‘zini o‘z ichiga olgan maxsus universal parolni yaratadi — bu, go‘yoki “Cisco” so‘ziga kinoya tarzida tanlangan. Bu parol orqali tajovuzkorlar AAA (Authentication, Authorization and Accounting) tizimi va lokal loginlar orqali tarmoqqa to‘liq ruxsatsiz kirish imkoniyatiga ega bo‘lishadi.

Eng xavflisi — ushbu rootkit faylsiz (fileless) tarzda ishlaydi, ya’ni u operatsion tizimning IOSd xotira maydoniga joylashib, qayta ishga tushirilgunga qadar faol bo‘ladi. Bu esa uni aniqlashni deyarli imkonsiz qiladi.

Hujum mexanizmi va kengayishi

Trend Micro mutaxassislarining so‘zlariga ko‘ra, tajovuzkorlar ushbu ekspluatatsiyani avvalgi CVE-2017-3881 raqamli Telnet zaifligining o‘zgartirilgan shakli bilan birlashtirib ishlatishgan. Bu yondashuv orqali ular tizim xotirasiga yozish va o‘qish amallarini amalga oshirishgan.

Hujumlar asosan eskirgan Cisco 3750G kabi 32-bitli qurilmalarga hamda zamonaviy Cisco 9300 va 9400 kabi 64-bitli tarmoq uskunalariga qaratilgan. 32-bitli modellarda SNMP paketlari orqali kichik buyruqlar yuborilgan bo‘lsa, 64-bitli arxitekturalarda tajovuzkorlar guest shell funksiyasini faollashtirib, UDP orqali boshqariluvchi nazorat kanallarini ishga tushirishgan.

Bu nazoratchilar (controller) tizimdagi loglarni o‘chiradi, ACL (Access Control List) yozuvlarini yashiradi, tarmoq konfiguratsiyasini o‘zgartiradi hamda foydalanuvchi skriptlarini (EEM — Embedded Event Manager) bekor qiladi.

Ichki tarmoqlarni egallash ssenariysi

Simulyatsion sinovlarda aniqlanishicha, hujumchilar korporativ tarmoqqa kirishda default SNMP parollaridan (“public” yoki “private”) foydalanishgan. Shundan so‘ng ular o‘g‘irlangan autentifikatsiya ma’lumotlari yordamida yadro (core) kommutatorlarga kirib, VLAN marshrutlash tizimini o‘zgartirgan va ARP spoofing orqali tarmoqdagi boshqa qurilmalarni aldab o‘zlariga yo‘naltirgan.

Buning natijasida ular server zonalari va himoyalangan DMZ segmentlariga to‘siqsiz kirib, ichki tarmoq bo‘ylab yashirin harakatlana olgan. Hujum yakunida esa loglar va vaqt tamg‘alari (timestamp) qayta tiklanib, butun faoliyat izsiz o‘chirilgan.

Zaif infratuzilmalarning zaifligi

“Operation Zero Disco” asosan eskirgan va EDR (Endpoint Detection and Response) tizimlari o‘rnatilmagan tarmoqlarga qaratilgan. Yangi Cisco modellari Address Space Layout Randomization (ASLR) texnologiyasi orqali qisman himoyalangan bo‘lsa-da, Trend Micro telemetriyasi doimiy tahlillar natijasida muvaffaqiyatli ekspluatatsiyalarni ham qayd etgan.

Cisco kompaniyasi o‘zining texnik yordam markazi (TAC) orqali zarar ko‘rgan mijozlarga maxsus forensik tahlil va mikrodastur (firmware) tekshiruvlarini tavsiya qilmoqda.

Tavsiya etilgan himoya choralari

  1. CVE-2025-20352 uchun yangilanish (patch) ni zudlik bilan o‘rnatish.
  2. SNMP’ni faqat autentifikatsiyalangan hamjamiyatlarga ruxsat berish orqali cheklash.
  3. Eskirgan tarmoq uskunalarini asosiy tarmoqdan ajratish (segmentatsiya).
  4. Trend Micro’ning Cloud One Network Security va Deep Discovery Inspector vositalaridan foydalanib, 5497-sonli UDP traffic qoidalari orqali nazoratni kuchaytirish.
  5. Vision One foydalanuvchilari uchun 46396-sonli SNMP overflow qoidalari orqali ekspluatatsiyalarni bloklash.

“Operation Zero Disco” kiberhujumi shuni yana bir bor isbotladiki — yangilanmagan tarmoq uskunalari har qanday korxona uchun zaif nuqtaga aylanadi. Birgina SNMP konfiguratsiyasidagi kamchilik ham yirik tarmoq infratuzilmasini izsiz egallashga olib kelishi mumkin.

Bugungi kunda davlat va xususiy sektorlar o‘z tarmoqlaridagi eski Cisco qurilmalarini zudlik bilan yangilab, SNMP portlarini faqat ishonchli IP manzillarga cheklashlari zarur. Zero-day ekspluatatsiyalar tobora ko‘payib borayotgan bir davrda, yangilanishni kechiktirish — kiberjinoyatchilarga eshikni ochiq qoldirish bilan barobardir.