Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về chiến dịch “Operation Zero Disco”, khai thác một lỗ hổng bảo mật nghiêm trọng trên phần mềm của Cisco. Thông qua lỗ hổng này, tin tặc đã âm thầm triển khai các bộ rootkit Linux lên hệ thống để chiếm quyền điều khiển và duy trì truy cập trái phép.

Theo báo cáo từ công ty an ninh mạng Trend Micro, chiến dịch này nhắm vào lỗ hổng có mã định danh CVE-2025-20352 (điểm CVSS 7.7). Đây là một lỗi tràn bộ đệm (stack overflow) trong giao thức Quản lý Mạng Đơn giản (SNMP), cho phép kẻ tấn công từ xa đã xác thực có thể thực thi mã tùy ý. Mặc dù Cisco đã phát hành bản vá, lỗ hổng này đã bị khai thác như một “zero-day” trong các cuộc tấn công thực tế trước đó.

Các thiết bị bị ảnh hưởng chủ yếu là dòng Cisco 9400, 9300 và các model cũ như 3750G. Sau khi xâm nhập thành công, rootkit cho phép kẻ tấn công thực thi mã từ xa, duy trì quyền truy cập bằng cách thiết lập một mật khẩu chung và chèn các “hook” (móc nối) trực tiếp vào không gian bộ nhớ của tiến trình IOS daemon (IOSd), một thành phần cốt lõi chạy trên nhân Linux của thiết bị.

Điểm đáng chú ý của chiến dịch “Zero Disco” là cách thức hoạt động lén lút. Tên gọi này bắt nguồn từ việc rootkit thiết lập một mật khẩu chung có chứa từ “disco”. Phần mềm độc hại này hoạt động gần như không có tệp tin (fileless), khiến các thành phần của nó biến mất hoàn toàn sau khi thiết bị khởi động lại, gây khó khăn cho việc phát hiện. Kẻ tấn công cũng chủ đích nhắm vào các hệ thống cũ không được trang bị giải pháp giám sát và phản ứng điểm cuối (EDR).

Các nhà nghiên cứu lưu ý rằng những dòng thiết bị chuyển mạch mới hơn của Cisco có tích hợp cơ chế bảo vệ ASLR (Address Space Layout Randomization), giúp giảm tỷ lệ tấn công thành công. Tuy nhiên, cơ chế này không phải là tuyệt đối và tin tặc vẫn có thể thành công nếu kiên trì thực hiện các cuộc tấn công lặp đi lặp lại.