A los hackers no les hace falta un archivo — les basta la memoria RAM: ZeroDisco convierte switches Cisco en zombis que desaparecen tras un reinicio.

Especialistas de Trend Research registraron una operación a gran escala con nombre en clave ZeroDisco, durante la cual los atacantes explotaron una vulnerabilidad en el protocolo Cisco SNMP (CVE-2025-20352, puntuación CVSS: 9.0) para implantar rootkits y ejecutar código arbitrario en dispositivos de red. La campaña afectó a switches de las series Cisco 9400, 9300 y al obsoleto 3750G. También se observaron intentos de explotación de una versión modificada de la vulnerabilidad Telnet CVE-2017-3881 (puntuación CVSS: 9.8).

Según Trend Micro, los ataques se dirigieron a dispositivos con versiones antiguas de Linux, donde faltan herramientas de detección y respuesta ante incidentes. Tras una intrusión exitosa, se instalaba un rootkit que ocultaba las huellas de la actividad y proporcionaba acceso no autorizado prolongado. Los switches infectados recibían una contraseña universal que incluía la palabra "disco", una variante del nombre del proveedor. Los atacantes integraron en la memoria de IOSd sus propios hooks, lo que convertía a los componentes del malware en elementos sin archivos que desaparecían después de un reinicio.

La mayor vulnerabilidad la presentan los modelos sin protección a nivel de Address Space Layout Randomization (ASLR). En los dispositivos más recientes ASLR reduce la probabilidad de una explotación exitosa, pero intentos repetidos aún pueden conducir a la compromisión. Cisco facilitó datos para forense y para evaluar la magnitud del incidente, confirmando que la operación afectó a un número limitado de clientes y que, por ahora, no se han encontrado pruebas de una propagación masiva.

Aparte de la explotación por SNMP, se empleó un exploit de Telnet modificado basado en el antiguo CVE-2017-3881. En la versión alterada no se usó para ejecución remota de código, sino para leer y escribir áreas arbitrarias de memoria. En los ataques se utilizaron direcciones IP falsificadas e incluso suplantación de dominios de correo de Apple. En los equipos Linux utilizados para preparar los ataques, los analistas encontraron exploits SNMP para plataformas de 32 y 64 bits, así como herramientas de suplantación ARP.

Para sistemas de 32 bits, los atacantes enviaban paquetes SNMP con comandos cortos, dividiéndolos en varias partes debido a las limitaciones del protocolo. Uno de los paquetes interceptados contenía el fragmento "$(ps -a" — indicador de ejecución de comandos mediante sustitución en la shell. En sistemas de 64 bits, el ataque requería privilegios de nivel 15 y acceso a la shell de usuario en el switch. Tras acceder con la contraseña universal, el atacante instalaba una puerta trasera sin archivos y la controlaba mediante un controlador UDP. Ese controlador permitía desactivar completamente el registro, eludir la autenticación AAA, ocultar elementos de configuración y modificar las marcas temporales para que pareciera que la configuración nunca había cambiado.

Trend mostró cómo se desarrolla la operación en una red corporativa típica. El atacante, con credenciales básicas, usa la comunidad pública de SNMP para acceder a routers y switches, y después toma el switch central para obtener acceso a todas las VLAN. A continuación, simula la dirección IP de una estación de administración de confianza, realiza suplantación ARP y altera la ruta, aislando la máquina legítima y obteniendo acceso a segmentos internos. Tras salir, el atacante restaura el registro para ocultar las huellas de la intrusión.

El rootkit actúa a nivel del sistema operativo del switch y realiza varias funciones. Abre un canal de control oculto a través de cualquier puerto UDP, incluso si no figura como abierto. Crea una contraseña universal modificando la memoria de IOSd y garantizando el acceso independientemente del método de autenticación. Puede ocultar determinados nombres de usuario, scripts EEM y listas ACL, incluyendo las cuentas dg3y8dpk, dg4y8epk, dg5y8fpk, dg6y8gpk y dg7y8hpk. También es capaz de desactivar temporalmente la generación de registros y restablecer la marca temporal del último cambio de configuración. Todos los cambios desaparecen después del reinicio, lo que dificulta en gran medida el análisis posterior.

Trend Micro advierte que actualmente no existe una herramienta universal capaz de detectar automáticamente los dispositivos infectados. Ante la sospecha de compromiso, los especialistas recomiendan contactar de inmediato con el soporte de Cisco para una verificación de bajo nivel del firmware y de las áreas de arranque. Para protegerse, se aconseja utilizar soluciones integrales que ofrezcan parcheo virtual de vulnerabilidades, análisis profundo del tráfico y bloqueo de intentos de explotación.

ZeroDisco se ha convertido en una de las campañas más técnicamente complejas contra dispositivos de red Cisco en los últimos años. Al combinar vulnerabilidades antiguas, paquetes SNMP fragmentados y mecanismos integrados para ocultar la actividad, sus autores demostraron que incluso protocolos obsoletos pueden convertirse en un punto de entrada a la infraestructura si hay suficiente persistencia.