Cve-2025-20352

Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) identificou uma vulnerabilidade crítica no Cisco IOS e IOS XE, classificada como CVE-2025-20352, que afeta o protocolo Simple Network Management Protocol (SNMP). Esta falha, resultante de um estouro de buffer baseado em pilha, está sendo ativamente explorada, permitindo que atacantes com acesso à rede provoquem condições de negação de serviço ou até mesmo execução remota de código. A CISA estabeleceu um prazo de remediação até 20 de outubro de 2025 para agências federais, enquanto empresas do setor privado são aconselhadas a acelerar a aplicação de patches para evitar interrupções. A vulnerabilidade pode ser explorada por atacantes de baixo privilégio para causar falhas nos equipamentos de rede, enquanto atacantes com privilégios elevados podem obter controle total do dispositivo afetado, possibilitando manipulação de tráfego e instalação de malware. A Cisco já disponibilizou medidas de mitigação e recomenda que os clientes apliquem atualizações de segurança imediatamente. A inclusão da CVE-2025-20352 no catálogo de vulnerabilidades conhecidas exploradas (KEV) da CISA indica que a exploração dessa falha pode se tornar uma prática comum entre cibercriminosos, tornando a rápida remediação essencial para a segurança das redes corporativas e governamentais.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2025-20352, que afeta o software IOS e IOS XE. Com uma pontuação CVSS de 7.7, essa falha pode permitir que um atacante remoto execute código arbitrário ou cause uma condição de negação de serviço (DoS) em dispositivos afetados. A vulnerabilidade está relacionada ao protocolo SNMP (Simple Network Management Protocol) e foi descoberta após a violação de credenciais de administrador local. Para explorar a falha, um atacante precisa enviar um pacote SNMP malicioso a um dispositivo vulnerável, sendo que as condições para a exploração variam conforme o nível de privilégios do atacante. A Cisco recomenda que apenas usuários confiáveis tenham acesso SNMP e sugere a execução do comando “show snmp host” para monitoramento. A falha afeta todas as versões do SNMP e dispositivos como os switches Meraki MS390 e Cisco Catalyst 9300. A correção já está disponível na versão 17.15.4a do Cisco IOS XE, e a empresa alerta que não há soluções alternativas para mitigar a vulnerabilidade.