Une nouvelle campagne d’attaques cible les équipements Cisco via une faille de sécurité importante, pourtant déjà corrigée depuis plusieurs semaines. Les pirates l’exploitent pour déployer des rootkits Linux sur des systèmes vulnérables. Baptisée Operation Zero Disco, cette campagne met en évidence les risques liés aux équipements réseau non mis à jour.
Une faille dans SNMP exploitée avant la publication du correctif
Les chercheurs de Trend Micro ont levé le voile sur l’Operation Zero Disco, une campagne malveillante exploitant la vulnérabilité CVE-2025-20352 (score CVSS : 7.7) présente au sein du sous-système SNMP de l’OS des équipements Cisco IOS et IOS XE. Cette faille permet à un attaquant distant et authentifié d’exécuter du code arbitraire via des paquets SNMP spécialement conçus.
Bien que Cisco ait corrigé la vulnérabilité fin septembre 2025, en même temps que 12 autres vulnérabilités, il est important de rappeler que des attaques ont été observées avant la publication du correctif. Le sujet a été évoqué dans cet article :
Des rootkits persistants visant les systèmes non protégés
Dans le cadre de la campagne Operation Zero Disco, les attaquants ciblent en priorité plusieurs modèles d’équipements Cisco, comme l’expliquent les chercheurs : “L’opération a principalement touché les appareils Cisco 9400, 9300 et les anciens appareils de la série 3750G, avec des tentatives supplémentaires d’exploitation d’une vulnérabilité Telnet modifiée (basée sur CVE-2017-3881) pour permettre l’accès à la mémoire.”
L’objectif des attaquants semble être la persistance sur des équipements vulnérables, de façon relativement profonde au sein de l’infrastructure. Pour cela, les chercheurs indiquent que les cybercriminels ont déployé des rootkits Linux capables de :
Définir des mots de passe universels,
Injecter des hooks dans la mémoire du processus IOSd,
Désactiver ou maquiller l’historique des logs.
Le processus IOSd, au cœur du système d’exploitation Cisco IOS, s’exécute au sein du noyau Linux, ce qui donne à l’attaquant un contrôle complet sur l’équipement compromis. Les chercheurs soulignent que le nom Zero Disco provient du mot de passe universel généré par le malware, contenant systématiquement le terme “disco”.
Le rootkit déployé par les pirates est piloté par un contrôleur UDP capable d’écouter sur n’importe quel port et d’exécuter différentes actions. Le rapport mentionne les actions suivantes :
Basculer ou désactiver l’historique des logs,
Contourner l’authentification AAA,
Masquer certaines parties de la configuration active,
Modifier les horodatages pour dissimuler l’activité des attaquants.
Cette campagne met en évidence que les routeurs et commutateurs sont des cibles à part entière dans les chaînes d’attaque. Si ce n’est pas encore fait, il est recommandé de patcher vos équipements Cisco, et aussi, d’une manière générale, de surveiller les journaux d’événements inhabituels.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.