Выберите отрасль

ИТ-технологииИИ (AI)КибербезопасностьБизнесУстройстваФинансыОбществоТорговляРазвлеченияАвтоМедицинаПромышленностьТранспортТуризмПередовые технологииНедвижимостьЭнергетика
Октябрь 2025   |   Обзор события   | 7

Нулевой день CVE-2025-20352: rootkit атакует Cisco коммутаторы

Злоумышленники использовали уязвимость CVE-2025-20352 в подсистеме SNMP сетевых коммутаторов Cisco 9400, 9300 и 3750G для внедрения Linux rootkit, который создавал универсальный пароль и скрывал компоненты через модификацию памяти. Cisco выпустила исправление в сентябре 2025 года, а Trend Micro обнаружила использование модифицированного эксплойта CVE-2017-3881, однако для автоматического обнаружения атак отсутствует универсальный инструмент.

ИСХОДНЫЙ НАРРАТИВ

По данным Trend Micro и Cisco, злоумышленники использовали нулевой день уязвимости CVE-2025-20352 для внедрения Linux rootkit на сетевые коммутаторы Cisco 9400, 9300 и 3750G. Атаки затронули устройства с устаревшими Linux-системами, где отсутствовали решения для обнаружения угроз на конечных точках.

Уязвимость и механизм атаки

Cisco исправила уязвимость CVE-2025-20352 в конце сентября 2025 года. Ошибка, связанная с переполнением стека в подсистеме SNMP, позволяла злоумышленникам вызвать отказ в обслуживании или выполнить удаленный код при наличии локальных административных прав. Атакующие отправляли специально сформированные SNMP-пакеты через IPv4/IPv6 и использовали действительные учетные данные для получения контроля.

Rootkit, внедренный в процесс IOSd, создавал универсальный пароль (содержащий слово «disco») и внедрял хуки в память, чтобы скрыть компоненты после перезагрузки. Trend Micro выявила также использование модифицированного эксплойта CVE-2017-3881, позволяющего читать/писать данные в произвольных адресах памяти.

Инструменты и методы атаки

Исследователи обнаружили UDP-контроллер, управляющий rootkit, и arp-споофер, перенаправляющий трафик на атакующего. UDP-контроллер позволял:

  • включать/отключать журналы или удалять записи;
  • обходить аутентификацию AAA и ACL VTY;
  • включать/отключать универсальный пароль;
  • скрывать части текущей конфигурации;
  • сбрасывать временные метки изменений конфигурации.

Рекомендации по защите

Cisco рекомендует использовать Cisco Software Checker или форму в CVE-2025-20352 для проверки версии ПО и обновления. Trend Micro предоставила индикаторы компрометации, но отмечает отсутствие универсального инструмента для автоматического обнаружения атак. При подозрении на компрометацию советуют обратиться в Cisco TAC для анализа прошивки и памяти.

Новые модели коммутаторов используют ASLR (Address Space Layout Randomization), снижающую вероятность успешной атаки. Однако повторные попытки могут преодолеть защиту.

Интересно: Как обеспечить защиту сетевых устройств, если стандартные методы обнаружения угроз не срабатывают, а уязвимости в ПО остаются неизвестными?

АНАЛИТИЧЕСКИЙ РАЗБОР

Скрытые риски устаревших сетевых устройств: как уязвимости превращаются в двери для киберпреступников

Когда защита становится слабым местом

Уязвимость CVE-2025-20352, обнаруженная в коммутаторах Cisco, демонстрирует парадокс современной кибербезопасности: устройства, считающиеся надежными из-за сложности архитектуры, становятся мишенью из-за устаревших компонентов. Проблема не в самой уязвимости, а в том, что производители и пользователи игнорируют цепочку обновлений.

Ключевые моменты:

  • Устаревшие Linux-системы в сетевом оборудовании — это не просто техническая архаичность, а системный риск. Многие корпорации и государственные структуры используют коммутаторы, которые не получают регулярных обновлений из-за сложности интеграции или высоких затрат на замену.
  • Rootkit в IOSd показывает, как атакующие манипулируют внутренними процессами устройств. Это не случайный эксперимент: злоумышленники используют модифицированные эксплойты (например, CVE-2017-3881), чтобы обойти защитные механизмы, что указывает на координацию между группировками.
  • Отсутствие универсального инструмента для обнаружения создает пустоту в кибербезопасности. Даже при наличии индикаторов компрометации (IOCs) от Trend Micro, пользователи вынуждены полагаться на ручной анализ, что увеличивает риск пропуска атак.

Важный нюанс: Уязвимость в коммутаторах — это не просто брешь в ПО, а сигнал о системном кризисе в подходе к обновлению критически важной инфраструктуры.

Эффект домино: кто выигрывает и проигрывает

Атаки на сетевые устройства запускают цепную реакцию, затрагивающую не только ИТ-отделы, но и смежные секторы.

  • Победители:
    • Компании с устаревшим оборудованием. Они сталкиваются с необходимостью срочной модернизации, что требует значительных финансовых вложений.
    • Поставщики устаревших решений. Снижение доверия к их продуктам ускорит их вытеснение с рынка.
  • Скрытые победители:
    • Производители современных коммутаторов с ASLR. Новые модели, защищенные от атак через случайное распределение адресов памяти, получают преимущество.
    • Сервисы по анализу прошивки. Рост спроса на ручной аудит оборудования стимулирует развитие нишевых решений, таких как Cisco TAC.

Ключевые моменты:

  • ASLR в новых коммутаторах снижает, но не исключает риски. Злоумышленники уже тестируют методы повторных атак, что означает, что защита — это временная мера.
  • UDP-контроллер и arp-споофер демонстрируют, как атакующие манипулируют сетевым трафиком. Это может использоваться для перехвата данных или создания «зомби-сетей» для DDoS-атак.

Важный нюанс: Атаки на коммутаторы — это не только техническая проблема, но и экономический сигнал о необходимости пересмотра инвестиционной политики в ИТ-инфраструктуру.

Что делать: от обновлений к системному мышлению

Решение проблемы требует перехода от реактивных мер к системному подходу.

  • Для компаний:
    • Провести аудит сетевого оборудования и выявить устройства, работающие на устаревших версиях ПО.
    • Интегрировать Cisco Software Checker в процессы мониторинга, чтобы автоматизировать обнаружение уязвимых версий.
    • Рассмотреть переход на модели с ASLR, но не полагаться только на них — дополнительные слои защиты (например, сегментация сети) остаются критически важными.
  • Для производителей:
    • Ускорить переход на модульную архитектуру ПО, чтобы обновления не требовали полной замены оборудования.
    • Разработать универсальные инструменты для обнаружения rootkit, интегрированные в систему управления устройствами.

Ключевые моменты:

  • Отсутствие автоматизации в обнаружении атак — это уязвимость, которую эксплуатируют злоумышленники. Даже при наличии IOCs, ручной анализ не справляется с масштабами современных угроз.
  • Модернизация инфраструктуры требует не только финансовых вложений, но и изменения в корпоративной культуре: переход от «обновления по требованию» к «предиктивному обслуживанию».

Важный нюанс: Кибербезопасность сетевых устройств — это не техническая задача, а вопрос управления рисками. Компании, которые не включат это в стратегию, столкнутся с последствиями, выходящими за рамки ИТ-сектора.

Дополнительные риски и меры реагирования

Новая информация о CVE-2025-20352 подчеркивает масштаб угрозы. Уязвимость оценивается в 7.7 из 10 по шкале CVSS, что указывает на высокую критичность. Атакующие могут использовать её не только для выполнения произвольного кода с правами root, но и для вызова сбоя системы, даже при наличии минимальных привилегий. Cisco рекомендует ограничить доступ к SNMP как временную меру, но это не заменяет полноценное обновление ПО [!].

Ключевые действия:

  • Обновление ПО до версий, включенных в сентябрьский патч Cisco, где исправлено 14 уязвимостей.
  • Контроль доступа к SNMP через настройку ACL и мониторинг подозрительных запросов.
  • Регулярный аудит конфигураций для выявления изменений, внесенных вручную или через атаки.

Важный нюанс: Уязвимости в сетевом ПО требуют не только технических решений, но и оперативного реагирования. Компании, которые не внедрят меры в ближайшие месяцы, рискуют потерять контроль над своей инфраструктурой.

Контакты Асектор ✉

Коротко о главном

Какие модели Cisco-коммутаторов были затронуты атаками?

Уязвимость затронула устройства Cisco 9400, 9300 и 3750G, работающие на устаревших Linux-системах без решений для обнаружения угроз.

Какие действия выполнял внедрённый rootkit?

Rootkit, внедрённый в процесс IOSd, создавал универсальный пароль (содержащий «disco»), внедрял хуки в память и скрывал компоненты после перезагрузки, используя модифицированный эксплойт CVE-2017-3881.

Какие инструменты использовали злоумышленники для контроля атаки?

Атакующие применяли UDP-контроллер для управления rootkit (например, сброс временных меток конфигураций) и arp-споофер, перенаправляющий трафик на злоумышленника.

Как Cisco рекомендует защищать устройства от подобных атак?

Компания советует проверять версию ПО через Cisco Software Checker или форму CVE-2025-20352, а также обновлять прошивку, так как новые модели используют ASLR для снижения рисков.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Кибербезопасность; Устройства и гаджеты; Смартфоны и телефоны

Темы: Нападения на сетевую инфраструктуру; Обеспечение безопасности компьютерных сетей; Уязвимости ПО;

Cisco Cisco 9300 Cisco Catalyst 3750G Cisco Catalyst 9400 Cisco Software Checker Cisco Technical Assistance Center Rootkit для Linux Trend Micro Контроллер для UDP

Оценка значимости: 7 из 10

Событие касается уязвимости в сетевых устройствах Cisco, широко используемых в России, что делает его актуальным для отраслевых компаний и ИТ-инфраструктуры. Атака затрагивает технологии, безопасность и экономику (через возможные утечки данных и нарушения работы систем), а её последствия требуют оперативных мер по обновлению ПО. Хотя влияние не является глобальным, связь с российскими организациями и необходимость активного реагирования увеличивают значимость.

Материалы по теме

Запрет импортных роутеров в США: риск дефицита и рост издержек для бизнеса
Обзор события
Запрет импортных роутеров в США: риск дефицита и рост издержек для бизнеса
Сетевое оборудование Nvidia: выручка в 11 млрд долларов за квартал
Обзор события
Сетевое оборудование Nvidia: выручка в 11 млрд долларов за квартал
Агентный ИИ требует новой инфраструктуры: снижение стоимости токена через фабрику ИИ
Обзор события
Агентный ИИ требует новой инфраструктуры: снижение стоимости токена через фабрику ИИ
Microsoft устранил 175 уязвимостей, включая нулевые дни, в обновлении безопасности
Обзор события
Microsoft устранил 175 уязвимостей, включая нулевые дни, в обновлении безопасности
Nvidia запускает NemoClaw: корпоративный ответ OpenAI на рост спроса в сегменте ИИ-агентов
Обзор события
Nvidia запускает NemoClaw: корпоративный ответ OpenAI на рост спроса в сегменте ИИ-агентов
Nvidia меняет стратегию: защита ИИ-агентов важнее продажи чипов
Обзор события
Nvidia меняет стратегию: защита ИИ-агентов важнее продажи чипов
Агентные ИИ становятся новой зоной риска для корпоративной безопасности
Обзор события
Агентные ИИ становятся новой зоной риска для корпоративной безопасности
Критичная уязвимость Cisco: атакующие могут получить root-доступ через SNMP

Уязвимость CVE-2025-20352 с оценкой CVSS 7.7, описанная в блоке, служит центральным примером системного кризиса в обновлении инфраструктуры. Упоминание переполнения стека в SNMP и рекомендации Cisco по обновлению ПО или ограничению доступа к SNMP подчеркивают, что проблема не в отдельной уязвимости, а в фундаментальных подходах к кибербезопасности. Эти данные усиливают аргумент о необходимости перехода от реактивных мер к системному мышлению, а также иллюстрируют масштаб рисков, связанных с устаревшими компонентами в критически важных устройствах.

Подробнее →
Сайт использует cookie-файлы и возможности Яндекс.Метрики. Продолжая пользоваться сайтом, вы подтверждаете свое согласие на использование файлов cookie и принимаете пользовательское соглашение.