Se ha detectado la campaña “Operation Zero Disco”, en la que actores maliciosos explotan activamente una vulnerabilidad crítica en el protocolo SNMP de switches Cisco, específicamente CVE-2025-20352, para ejecutar código remotamente e instalar rootkits Linux persistentes. Esta falla afecta fundamentalmente a dispositivos antiguos sin las protecciones modernas, permitiendo acceso no autorizado persistente y controles avanzados sobre la red, dificultando la detección.
CVE y severidad
| CVE | Severidad | Impacto | Componentes afectados |
|---|---|---|---|
| CVE-2025-20352 | Crítica | Ejecución remota de código y acceso persistente no autorizado | SNMP en Cisco IOS XE Software |
| CVE-2017-3881 (modificado) | Alta | Operaciones de lectura/escritura de memoria; post-explotación | Telnet modificado en dispositivos Cisco |
Productos afectados
| Fabricante | Producto | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Cisco | Switches serie 3750G (legacy) | Modelos sin mitigación ASLR ni firmware actualizado | 64 y 32 bits, IOS XE Software |
| Cisco | Switches serie 9300 y 9400 | Dispositivos activos sin parches recientes | 64 bits, IOS XE Software |
Solución
Aplicar inmediatamente el parche de seguridad que corrige CVE-2025-20352 y restringir el acceso SNMP a comunidades autenticadas. Cisco ha publicado actualizaciones de seguridad que corrigen esta vulnerabilidad. En particular, la versión Cisco IOS XE 17.15.4a incluye la corrección para esta falla.
Recomendaciones
-
Actualizar los dispositivos afectados a versiones que incluyan el parche (por ejemplo, IOS XE 17.15.4a) de forma prioritaria.
-
Deshabilitar SNMP en dispositivos donde no sea estrictamente necesario.
-
Restringir el acceso a SNMP mediante listas de control de acceso (ACL) para que solo hosts autorizados puedan comunicarse con el agente SNMP.
-
Auditar las credenciales SNMP existentes, en particular eliminar cadenas predeterminadas o débiles y usar versiones con mayor seguridad (SNMPv3 con autenticación y cifrado).
-
Monitorear en los dispositivos cualquier actividad sospechosa relacionada con SNMP (paquetes inusuales, reinicios inesperados).
-
En escenarios en los que no sea posible parchear de inmediato, aplicar controles compensatorios como segmentación de red, firewall interno para bloquear tráfico SNMP externo, o limitación de acceso por zona de confianza.