Les acteurs malveillants ont exploité une vulnérabilité IOS/IOS XE récemment corrigée (CVE-2025-20352) pour déployer des rootkits Linux sur les périphériques réseau Cisco vulnérables.
“L’opération ciblait les victimes exécutant des systèmes Linux plus anciens qui ne disposent pas de solutions de réponse de détection des points finaux”, ont expliqué les chercheurs de Trend Micro.
Une fois qu’un rootkit était implanté, il définissait un mot de passe universel (contenant le mot « disco ») et installait plusieurs hooks sur l’espace mémoire IOSd (processus), pour faire disparaître les composants sans fichier après un redémarrage.
À propos de CVE-2025-20352
Fin septembre 2025, Cisco a corrigé une vulnérabilité IOS/IOS XE (CVE-2025-20352) exploitée par des attaquants lors d’attaques zero-day, mais n’a pas partagé de détails supplémentaires sur les attaques.
CVE-2025-20352, une vulnérabilité de débordement de pile dans le sous-système SNMP (Simple Network Management Protocol) des logiciels Cisco IOS et IOS XE, pourrait conduire soit à une condition DoS, soit à l’exécution de code à distance, et cette dernière uniquement si l’attaquant disposait déjà de privilèges élevés sur un périphérique vulnérable.
“Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet SNMP contrefait à un appareil concerné via des réseaux IPv4 ou IPv6”, a noté Cisco, et a expliqué que les attaquants ont pu mettre la main sur des informations d’identification d’administrateur local valides et les utiliser pour réaliser l’exécution de code à distance.
Les conclusions des chercheurs
Trend Micro a découvert que les attaquants exploitaient la faille des appareils Cisco 9400, 9300 et des anciennes séries 3750G.
Ils ont exploité plusieurs exploits et ciblé les plates-formes 32 bits et 64 bits. Ils ont également tenté d’exploiter une version modifiée d’une ancienne vulnérabilité Telnet (CVE-2017-3881), pour permettre la lecture/écriture de la mémoire à des adresses arbitraires.
Les chercheurs ont découvert plusieurs exploits utilisés par les attaquants. L’un a été utilisé pour installer le rootkit Linux et l’autre pour arrêter la journalisation des traces sur le périphérique cible.
“L’enquête sur Trend a également découvert un composant de contrôleur UDP utilisé pour contrôler le rootkit, ainsi qu’un outil d’usurpation d’arp sur un commutateur Cisco”, ont partagé les chercheurs.
“Le contrôleur UDP fournit plusieurs fonctions de gestion puissantes : il peut activer ou désactiver l’historique des journaux ou supprimer entièrement les enregistrements du journal ; contourner l’authentification AAA et contourner les listes de contrôle d’accès VTY ; activer ou désactiver un mot de passe universel ; masquer des parties de la configuration en cours d’exécution ; et réinitialiser l’horodatage de la dernière écriture de la configuration en cours d’exécution afin que la configuration semble n’avoir jamais été modifiée. “
L’outil de spoffing arp peut être utilisé pour que le trafic destiné au périphérique réseau soit envoyé en premier à l’attaquant.
Ce qu’il faut faire?
Cisco a conseillé aux clients d’utiliser Cisco Software Checker ou un formulaire de l’avis de sécurité CVE-2025-20352 pour vérifier si leurs appareils exécutent une version concernée et pour les mettre à jour si c’est le cas.
Trend Micro a partagé des indicateurs de compromission liés à ces attaques, mais a également noté qu’il n’existe aucun outil automatisé universel permettant de déterminer si un commutateur Cisco a été compromis avec succès par l’opération ZeroDisco (comme ils l’appellent).
« Si vous pensez qu’un commutateur est affecté, nous vous recommandons de contacter immédiatement le TAC Cisco et de demander au fournisseur de vous aider dans une enquête de bas niveau sur les régions du micrologiciel/ROM/démarrage », ont conseillé les chercheurs.
Même si les appareils ciblés peuvent être plus anciens, les exploits peuvent également fonctionner sur des appareils plus récents.
“Les nouveaux modèles de commutateurs offrent une certaine protection via la randomisation de la configuration de l’espace d’adressage (ASLR), ce qui réduit le taux de réussite des tentatives d’intrusion ; cependant, il convient de noter que des tentatives répétées peuvent toujours réussir”, ont ajouté les chercheurs.
Abonnez-vous à notre alerte e-mail de dernière minute pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici !
