Хакеры не нуждаются в файлах — им хватает вашей памяти: ZeroDisco превращает коммутаторы Cisco в зомби, которые пропадают после перезагрузки.

Спецоперация против сетей: универсальный пароль и «безфайловый» руткит, исчезающий после перезагрузки

Trend Research выявила кампанию ZeroDisco, в рамках которой злоумышленники использовали уязвимость Cisco SNMP (CVE-2025-20352, CVSS 9.0) и модифицированный баг Telnet (CVE-2017-3881) для внедрения руткитов в сетевые устройства Cisco 9400, 9300 и 3750G.

Атаки нацелены на устройства со старыми версиями Linux без систем защиты. После взлома в память IOSdвнедрялся руткит, который устанавливал универсальный пароль с фрагментом «disco» и исчезал после перезапуска. Безфайловая природа делала вредонос почти неуловимым.

Злоумышленники использовали SNMP-фрагментацию, ARP-спуфинг и подмену IP-адресов, чтобы обойти логирование и скрыть активность. Наиболее уязвимыми оказались устройства без ASLR.

Руткит открывал скрытый UDP-канал управления, отключал логи, скрывал пользователей и конфигурации, а все изменения стирались при перезагрузке.

Trend Micro предупреждает: универсальных инструментов для обнаружения заражения нет. Рекомендуется проводить низкоуровневую проверку прошивки и применять виртуальные патчи и анализ сетевого трафика.

ZeroDisco показала, что даже старые протоколы могут стать точкой входа, если их использовать с достаточной настойчивостью и изобретательностью.