Source: https://www.securityweek.com/cisco-routers-hacked-for-rootkit-deployment/
🛡 概要
最近のTrend Microの報告によれば、古いCiscoデバイスが新たなゼロデイ脆弱性に対して未パッチのまま、ルートキットに感染したことが明らかになりました。この脆弱性はCVE-2025-20352(CVSSスコア7.7)として追跡されており、Ciscoは9月末にこの脆弱性の悪用が行われていることを警告しました。対象となるデバイスには、Cisco 9400、9300、そして3750Gシリーズなどが含まれています。
🔍 技術詳細
この脆弱性は、IOSおよびIOS XEデバイスのSimple Network Management Protocol(SNMP)におけるスタックオーバーフローの問題です。低権限の攻撃者がサービス妨害(DoS)を引き起こすことができ、高権限の攻撃者によるリモートコード実行(RCE)が可能です。Trend Microによれば、攻撃者はこの脆弱性を利用して、ルートキットを展開し、Linuxシステム上での活動を隠蔽し、調査や検出を回避しています。また、CVE-2017-3881というTelnetの欠陥も悪用されており、これによりメモリの読み書きが可能になります。攻撃者は、32ビットおよび64ビットシステムに対して異なる手法で攻撃を実行しました。
⚠ 影響
ルートキットの展開により、攻撃者はUDPパケットを監視し、バックドア機能を構成またはトリガーすることが可能になります。また、IOSdメモリを変更して、ほとんどの認証方法で機能するユニバーサルパスワードを設定し、実行中の設定項目を隠すことができます。これにより、VTY(リモートアクセス用の仮想インターフェース)に適用されるACLをバイパスし、ログ履歴を無効にし、設定変更のタイムスタンプをリセットして隠蔽することができます。現在、ZeroDisco作戦によりCiscoスイッチが侵害されたかどうかを確実に判断する自動化ツールは存在せず、疑わしい場合はCisco TACに連絡することが推奨されています。
🛠 対策
この脅威に対する最も効果的な対策は、デバイスのファームウェアを最新の状態に保つことです。CiscoはCVE-2025-20352に対するパッチを発表しているため、速やかに適用することが重要です。また、エンドポイント検出応答ソリューションを導入し、ネットワークの監視を強化することも有効です。さらに、定期的なセキュリティ評価を実施し、異常な動作を早期に発見する体制を整えることが求められます。これらの対策を講じることで、ルートキットの感染リスクを大幅に低減することができます。
