Una nueva campaña de ciberataques ha puesto en alerta a la comunidad de seguridad: investigadores de Trend Micro han revelado detalles sobre una operación activa, apodada “Zero Disco”, que aprovecha una vulnerabilidad crítica en dispositivos Cisco para instalar rootkits en sistemas Linux antiguos y mal protegidos.
¿Qué está pasando?
La campaña explota una vulnerabilidad identificada como CVE-2025-20352, con una puntuación de 7.7 en el CVSS, que afecta al subsistema SNMP (Simple Network Management Protocol) en Cisco IOS e IOS XE. Este fallo de desbordamiento de pila puede permitir a un atacante remoto, autenticado, ejecutar código arbitrario enviando paquetes SNMP manipulados.
Aunque Cisco parcheó el fallo a finales del mes pasado, ya se han detectado ataques activos que aprovecharon esta brecha como un zero-day, es decir, antes de que existiera una solución disponible.
¿A qué dispositivos apunta la campaña?
Según el informe, los dispositivos más afectados son:
-
Cisco Catalyst 9400 y 9300
-
Series antiguas como los 3750G
Además, se han observado intentos de explotar una variante modificada de una antigua vulnerabilidad de Telnet (CVE-2017-3881) para acceder a la memoria del sistema, aunque su funcionalidad específica aún no está del todo clara.
Rootkits y acceso persistente
El objetivo final de los atacantes es instalar rootkits en la memoria del proceso IOSd, el daemon de Cisco IOS que corre dentro del kernel de Linux. Al hacerlo, logran:
-
Ejecución remota de código (RCE)
-
Persistencia no autorizada
-
Creación de contraseñas universales para mantener el acceso
-
Instalación de hooks en memoria que desaparecen tras un reinicio (ataques fileless)
La campaña evade herramientas EDR (Endpoint Detection and Response) al centrarse en sistemas Linux antiguos sin soluciones de seguridad activas. Además, se detectó el uso de IPs falsificadas y direcciones de correo con dominios que simulan pertenecer a Apple (como "@mac.com"), lo que complica la trazabilidad.
¿Por qué "Zero Disco"?
El nombre de la campaña, Zero Disco, no es casual. Los investigadores descubrieron que el rootkit implementa una contraseña universal que incluye la palabra “disco”, una variación de una sola letra respecto a “Cisco”. Un guiño sarcástico por parte de los atacantes, pero también una señal clara de que la campaña fue diseñada específicamente para estos dispositivos.
¿Hay mitigaciones?
Sí, pero no son perfectas.
-
Las versiones más nuevas de dispositivos Cisco ya implementan mecanismos como ASLR (Address Space Layout Randomization), que dificultan los ataques de memoria.
-
Sin embargo, los atacantes pueden insistir hasta tener éxito, ya que ASLR solo reduce la probabilidad, no elimina el riesgo.
-
Cisco ya publicó parches de seguridad y recomienda actualizar de inmediato cualquier dispositivo afectado.
Conclusión
“Zero Disco” es un recordatorio contundente de que los sistemas heredados sin protección moderna siguen siendo un blanco fácil. Esta campaña combina técnicas clásicas como el uso de rootkits y persistencia en memoria con un enfoque quirúrgico sobre infraestructuras críticas de red.
Si trabajás en infraestructura o seguridad, este es el momento de revisar tus dispositivos Cisco, aplicar parches y reforzar tu postura defensiva.
0 Comentarios