威脅行為者利用較舊的、未受保護的思科網路設備中最近修補的遠端程式碼執行漏洞 (CVE-2025-20352) 來部署 Linux 根工具包並獲得持久存取權限。據網路安全公司趨勢科技稱，此次攻擊針對的是沒有端點檢測響應解決方案的思科 9400、9300 和傳統 3750G 系列設備。 攻擊中利用的安全性問題會影響 Cisco IOS 和 IOS XE 中的簡單網路管理協定 (SNMP)，如果攻擊者擁有 root 權限，則會導致 RCE。在 10 月 6 日更新的 CVE-2025-20352 原始公告中，思科將該漏洞標記為零日漏洞，該公司的產品安全事件回應團隊 (PSIRT) 表示「已知該漏洞已被成功利用」。 趨勢科技將此攻擊追蹤命名為「Operation Zero Disco」，因為惡意軟體在受感染系統上設置了一個包含「disco」字串的通用存取密碼。部署在這個關鍵網路設備上的根工具包（Rootkit）具備強大的後門功能，其核心組件是一個 UDP 控制器，能夠監聽任何埠口，並執行多項關鍵的惡意操作，包括開啟或刪除系統日誌，繞過 AAA（身分驗證、授權和稽核）與 VTY ACLs（虛擬終端存取控制列表），並隱藏運行中的配置項目。

趨勢科技的報告指出，威脅行為者也試圖利用CVE-2017-3881，這是 IOS 和 IOS XE 中的叢集管理協定程式碼中一個已有七年歷史的漏洞。該漏洞在七年前已被修補，駭客仍試圖結合利用此類舊有漏洞，顯示出對企業補丁管理不完善的針對性攻擊策略。在模擬攻擊中，研究人員表明可以停用日誌記錄、透過 ARP 欺騙模擬中途站 IP、繞過內部防火牆規則以及在 VLAN 之間橫向移動。根工具包的部署方式非常隱蔽，它透過在 IOSd 上安裝多個鉤子（hooks），使惡意軟體的「無檔案元件」（fileless components）在設備重啟後消失，增加了偵測與清除的難度。

儘管較新的思科交換器因擁有「位址空間佈局隨機化」（ASLR）等保護機制而對此類攻擊更具抵抗力，但趨勢科技強調它們並非完全免疫。這類攻擊的危險性在於，根工具包被植入到網路核心交換器中，能實施持久的網路監聽與橫向移動，嚴重威脅網路的完整性與機密性。趨勢科技指出，目前尚無工具能夠可靠地標記受此類攻擊影響的思科交換器。如果懷疑有駭客攻擊，建議執行低階韌體和 ROM 區域調查，以對網路基礎設施進行最深層次的數位鑑識，確保設備的安全狀態。此事件對所有擁有傳統網路設備的企業敲響了警鐘，突顯了持續修補漏洞和部署全方位安全監測解決方案的迫切性。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-cisco-snmp-flaw-to-deploy-rootkit-on-switches/