-
09/04/2020
-
116
-
1.185 bài viết
Operation Zero Disco: Từ lỗ hổng SNMP đến rootkit ẩn mình trên thiết bị Cisco
Các nhà nghiên cứu của Trend Micro vừa phát hiện một chiến dịch tấn công tinh vi mang tên Operation Zero Disco, lợi dụng lỗ hổng nghiêm trọng trong cơ chế Simple Network Management Protocol (SNMP) của Cisco để chiếm quyền điều khiển thiết bị mạng và cài đặt rootkit trên nền tảng Linux. Chiến dịch này chủ yếu nhắm vào các dòng switch đời cũ, nơi kẻ tấn công có thể thiết lập cửa hậu vĩnh viễn và ẩn mình sâu trong hạ tầng mạng doanh nghiệp.
Cốt lõi của chiến dịch nằm ở lỗ hổng CVE-2025-20352, ảnh hưởng đến cả phiên bản 32-bit và 64-bit của phần mềm điều khiển Cisco. Lỗ hổng cho phép thực thi mã từ xa (RCE) trên thiết bị bị ảnh hưởng, tạo ra một điểm xâm nhập mạnh mẽ cho các cuộc tấn công nội bộ. Mức độ nguy hiểm tăng lên khi nhiều hệ thống vẫn duy trì cấu hình SNMP mặc định với chuỗi cộng đồng “public”, khiến việc khai thác trở nên dễ dàng hơn bao giờ hết.
Theo dữ liệu từ Trend Micro, các thiết bị Cisco dòng 9400, 9300 và đặc biệt là 3750G chịu ảnh hưởng nặng nề nhất. Dòng 3750G đã cũ và không còn được hỗ trợ, đồng thời thiếu các cơ chế bảo vệ hiện đại như Address Space Layout Randomization (ASLR), khiến thiết bị dễ trở thành mục tiêu tấn công. Ngay cả với những mẫu mới có trang bị ASLR, kẻ tấn công vẫn có thể khai thác thành công nếu kiên trì thực hiện lặp đi lặp lại.
Sau khi khai thác thành công, kẻ tấn công triển khai một rootkit đa tầng với khả năng duy trì quyền kiểm soát lâu dài. Một trong những dấu ấn thú vị là việc rootkit tạo ra một “mật khẩu phổ quát” chứa từ “disco” – được cho là cách chơi chữ của “Cisco”. Mật khẩu này hoạt động trên hầu hết các phương thức xác thực như AAA, đăng nhập cục bộ hay enable mode, nhờ vào việc hook trực tiếp vào các hàm xác thực trong bộ nhớ tiến trình IOSd. Mặc dù thay đổi này sẽ biến mất sau khi khởi động lại, nhưng các thành phần fileless vẫn có thể duy trì hoạt động bằng cách tái chèn mã vào bộ nhớ. Đồng thời, các hook này còn vô hiệu hóa hệ thống ghi log, che giấu mọi thao tác độc hại khỏi nhật ký thiết bị.
Sự thay đổi trong bộ nhớ IOSd cho mật khẩu chung sẽ biến mất sau khi khởi động lại.
Rootkit đi kèm một thành phần điều khiển qua giao thức UDP, có thể hoạt động trên bất kỳ cổng nào mà không cần mở port công khai. Thông qua đó, kẻ tấn công có thể bật/tắt lịch sử log, xóa toàn bộ bản ghi, bỏ qua cơ chế AAA và danh sách kiểm soát truy cập VTY, thậm chí che giấu các phần của cấu hình đang chạy. Bằng cách giả mạo địa chỉ IP của các máy trạm quản trị, chúng có thể vượt qua tường lửa nội bộ, đồng thời đặt lại dấu thời gian của các thay đổi cấu hình để khiến chúng trông như chưa từng xảy ra.
Kẻ tấn công có thể truy cập vào các vùng được bảo vệ khác bằng cách mạo danh địa chỉ IP của trạm trung chuyển để vượt qua tường lửa nội bộ.
Không dừng lại ở việc chiếm quyền, chiến dịch còn cho thấy trình độ xâm nhập sâu vào hạ tầng mạng trọng yếu. Khi đã kiểm soát các switch trung tâm, kẻ tấn công thêm các quy tắc định tuyến để nối các VLAN bị phân tách, qua đó mở đường di chuyển ngang trong hệ thống. Chúng cài đặt các công cụ ARP spoofing chạy trong môi trường guest shell của Cisco nhằm chuyển hướng lưu lượng, tạo xung đột IP hoặc đánh sập thiết bị hợp pháp để chiếm vị trí mạng. Trong quá trình điều tra, Trend Micro còn phát hiện các tài khoản ẩn có tên dạng “dg3y8dpk” đến “dg7y8hpk”, cùng các script EEM giả mạo như “CiscoEMX-1” đến “CiscoEMX-5” và ACL bị che giấu dưới tên “EnaQWklg0” đến “EnaQWklg2”.
Sơ đồ mạng mô phỏng trong đó mỗi vùng được phân tách bằng một bộ chuyển mạch lõi và một VLAN khác nhau
Đáng chú ý, chiến dịch này còn thử nghiệm tận dụng lại lỗ hổng Telnet CVE-2017-3881, một lỗi từng gây RCE nghiêm trọng nhưng đã được sửa đổi để mở rộng khả năng đọc và ghi bộ nhớ tùy ý. Mục tiêu dường như nhằm tạo ra các công cụ tấn công kết hợp, tăng khả năng leo thang và chiếm quyền hoàn toàn trên hạ tầng Cisco. Dù chưa rõ mức độ hoạt động đầy đủ của phiên bản sửa đổi này, sự kết hợp giữa nhiều lỗ hổng và kỹ thuật ẩn mình đã biến Operation Zero Disco trở thành một chiến dịch cực kỳ nguy hiểm.
Trong mô phỏng, kẻ tấn công có thể vượt qua tường lửa bên ngoài bằng mật khẩu đã lấy được để truy cập vào các thiết bị khác nhau trên mạng.
Về phía phòng thủ, Trend Micro đã phát hành các quy tắc phát hiện chuyên dụng: rule 46396 để phát hiện hành vi khai thác SNMP và rules 5497, 5488 để nhận diện lưu lượng UDP điều khiển của rootkit. Tuy nhiên, các nhà nghiên cứu cảnh báo hiện chưa có công cụ tự động nào có thể xác định chắc chắn thiết bị Cisco đã bị xâm nhập hay chưa. Khi nghi ngờ, việc điều tra thủ công kết hợp với Cisco Technical Assistance Center là cần thiết để kiểm tra vùng nhớ, đối chiếu cấu hình và phân tích sâu các chỉ số xâm nhập.
Chiến dịch Operation Zero Disco là lời nhắc mạnh mẽ rằng việc duy trì thiết bị mạng cũ hoặc cấu hình mặc định chính là rủi ro bảo mật tiềm ẩn. Các tổ chức cần nâng cấp lên SNMPv3, thay đổi chuỗi cộng đồng mặc định và tăng cường giám sát lưu lượng để phát hiện dấu hiệu điều khiển bất thường. Việc kiểm tra định kỳ cấu hình, phát hiện script hoặc tài khoản lạ cũng là bước quan trọng để ngăn rootkit âm thầm bám trụ trong hệ thống.
Cốt lõi của chiến dịch nằm ở lỗ hổng CVE-2025-20352, ảnh hưởng đến cả phiên bản 32-bit và 64-bit của phần mềm điều khiển Cisco. Lỗ hổng cho phép thực thi mã từ xa (RCE) trên thiết bị bị ảnh hưởng, tạo ra một điểm xâm nhập mạnh mẽ cho các cuộc tấn công nội bộ. Mức độ nguy hiểm tăng lên khi nhiều hệ thống vẫn duy trì cấu hình SNMP mặc định với chuỗi cộng đồng “public”, khiến việc khai thác trở nên dễ dàng hơn bao giờ hết.
Theo dữ liệu từ Trend Micro, các thiết bị Cisco dòng 9400, 9300 và đặc biệt là 3750G chịu ảnh hưởng nặng nề nhất. Dòng 3750G đã cũ và không còn được hỗ trợ, đồng thời thiếu các cơ chế bảo vệ hiện đại như Address Space Layout Randomization (ASLR), khiến thiết bị dễ trở thành mục tiêu tấn công. Ngay cả với những mẫu mới có trang bị ASLR, kẻ tấn công vẫn có thể khai thác thành công nếu kiên trì thực hiện lặp đi lặp lại.
Sau khi khai thác thành công, kẻ tấn công triển khai một rootkit đa tầng với khả năng duy trì quyền kiểm soát lâu dài. Một trong những dấu ấn thú vị là việc rootkit tạo ra một “mật khẩu phổ quát” chứa từ “disco” – được cho là cách chơi chữ của “Cisco”. Mật khẩu này hoạt động trên hầu hết các phương thức xác thực như AAA, đăng nhập cục bộ hay enable mode, nhờ vào việc hook trực tiếp vào các hàm xác thực trong bộ nhớ tiến trình IOSd. Mặc dù thay đổi này sẽ biến mất sau khi khởi động lại, nhưng các thành phần fileless vẫn có thể duy trì hoạt động bằng cách tái chèn mã vào bộ nhớ. Đồng thời, các hook này còn vô hiệu hóa hệ thống ghi log, che giấu mọi thao tác độc hại khỏi nhật ký thiết bị.
Sự thay đổi trong bộ nhớ IOSd cho mật khẩu chung sẽ biến mất sau khi khởi động lại.
Kẻ tấn công có thể truy cập vào các vùng được bảo vệ khác bằng cách mạo danh địa chỉ IP của trạm trung chuyển để vượt qua tường lửa nội bộ.
Sơ đồ mạng mô phỏng trong đó mỗi vùng được phân tách bằng một bộ chuyển mạch lõi và một VLAN khác nhau
Trong mô phỏng, kẻ tấn công có thể vượt qua tường lửa bên ngoài bằng mật khẩu đã lấy được để truy cập vào các thiết bị khác nhau trên mạng.
Chiến dịch Operation Zero Disco là lời nhắc mạnh mẽ rằng việc duy trì thiết bị mạng cũ hoặc cấu hình mặc định chính là rủi ro bảo mật tiềm ẩn. Các tổ chức cần nâng cấp lên SNMPv3, thay đổi chuỗi cộng đồng mặc định và tăng cường giám sát lưu lượng để phát hiện dấu hiệu điều khiển bất thường. Việc kiểm tra định kỳ cấu hình, phát hiện script hoặc tài khoản lạ cũng là bước quan trọng để ngăn rootkit âm thầm bám trụ trong hệ thống.
Tổng hợp