Trend Research ha identificado la operación “Zero Disco”, una campaña activa que explota la vulnerabilidad CVE-2025-20352 (CVSSv3 7.5 según proveedor) en el protocolo SNMP de Cisco para ejecutar código remoto e instalar rootkits en dispositivos 9400, 9300 y 3750G.

El ataque permite el acceso persistente mediante la creación de una contraseña universal y la inserción de hooks en el espacio de memoria IOSd, dificultando la detección y el análisis forense. Los actores emplean direcciones IP y correos falsificados, además de modificar un exploit Telnet derivado de CVE-2017-3881 (CVSSv3 9.8) para habilitar lectura y escritura en memoria.

Los rootkits implantados actúan como listeners UDP y pueden manipular registros, autenticaciones AAA y configuraciones de red. Los equipos más recientes con ASLR muestran mayor resistencia, aunque vulnerables tras intentos repetidos.

Trend Micro ha confirmado detecciones en su telemetría y provee reglas específicas para mitigar esta amenaza, recomendando la revisión forense de firmware ante sospechas de compromiso.

Leer más »

Tomado del Boletín Semanal de Ciberseguridad, 11-17 octubre
2025 © Telefónica Cyber Security & Cloud Tech S.L.U. Todos los derechos reservados