Cisco Catalyst 9400

Уязвимость в Cisco 9400 спровоцировала внедрение скрытого rootkit

Злоумышленники использовали уязвимость CVE-2025-20352 в коммутаторах Cisco 9400, 9300 и 3750G для внедрения Linux rootkit, который создавал универсальный пароль и скрывал свои компоненты после перезагрузки. Уязвимость, связанная с переполнением стека в подсистеме SNMP, позволяла удалённое выполнение кода при наличии локальных административных прав. Атакующие отправляли специально сформированные SNMP-пакеты через IPv4/IPv6, используя действительные учетные данные для получения контроля. Rootkit также внедрял хуки в память и модифицировал эксплойт CVE-2017-3881 для доступа к произвольным адресам памяти. Cisco выпустила исправление в сентябре 2025 года, но устройства с устаревшими Linux-системами оставались уязвимыми из-за отсутствия средств обнаружения угроз. Подробнее →