Snmp

Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.

Pesquisadores de cibersegurança da Trend Micro descobriram uma campanha de ataque sofisticada chamada “Operação Zero Disco”, que explora uma vulnerabilidade crítica no protocolo SNMP da Cisco para implantar rootkits Linux em dispositivos de infraestrutura de rede. A vulnerabilidade, identificada como CVE-2025-20352, permite a execução remota de código (RCE) em modelos de switches Cisco mais antigos, como as séries 9400, 9300 e 3750G. Os atacantes conseguem estabelecer acesso persistente e evitar sistemas de detecção, utilizando senhas universais que comprometem a segurança dos dispositivos. Além disso, a campanha demonstra técnicas avançadas de infiltração na rede, como manipulação de VLANs e spoofing de ARP, permitindo que os invasores contornem múltiplas camadas de segurança. A Cisco confirmou que a falha afeta diversos modelos de switches, sendo os 3750G os mais vulneráveis devido à falta de proteções modernas. A Trend Micro recomenda o uso de suas soluções de segurança para detectar e mitigar esses ataques, mas alerta que não há ferramentas automatizadas confiáveis para verificar se um switch Cisco foi comprometido, exigindo investigação manual.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) identificou uma vulnerabilidade crítica no Cisco IOS e IOS XE, classificada como CVE-2025-20352, que afeta o protocolo Simple Network Management Protocol (SNMP). Esta falha, resultante de um estouro de buffer baseado em pilha, está sendo ativamente explorada, permitindo que atacantes com acesso à rede provoquem condições de negação de serviço ou até mesmo execução remota de código. A CISA estabeleceu um prazo de remediação até 20 de outubro de 2025 para agências federais, enquanto empresas do setor privado são aconselhadas a acelerar a aplicação de patches para evitar interrupções. A vulnerabilidade pode ser explorada por atacantes de baixo privilégio para causar falhas nos equipamentos de rede, enquanto atacantes com privilégios elevados podem obter controle total do dispositivo afetado, possibilitando manipulação de tráfego e instalação de malware. A Cisco já disponibilizou medidas de mitigação e recomenda que os clientes apliquem atualizações de segurança imediatamente. A inclusão da CVE-2025-20352 no catálogo de vulnerabilidades conhecidas exploradas (KEV) da CISA indica que a exploração dessa falha pode se tornar uma prática comum entre cibercriminosos, tornando a rápida remediação essencial para a segurança das redes corporativas e governamentais.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2025-20352, que afeta o software IOS e IOS XE. Com uma pontuação CVSS de 7.7, essa falha pode permitir que um atacante remoto execute código arbitrário ou cause uma condição de negação de serviço (DoS) em dispositivos afetados. A vulnerabilidade está relacionada ao protocolo SNMP (Simple Network Management Protocol) e foi descoberta após a violação de credenciais de administrador local. Para explorar a falha, um atacante precisa enviar um pacote SNMP malicioso a um dispositivo vulnerável, sendo que as condições para a exploração variam conforme o nível de privilégios do atacante. A Cisco recomenda que apenas usuários confiáveis tenham acesso SNMP e sugere a execução do comando “show snmp host” para monitoramento. A falha afeta todas as versões do SNMP e dispositivos como os switches Meraki MS390 e Cisco Catalyst 9300. A correção já está disponível na versão 17.15.4a do Cisco IOS XE, e a empresa alerta que não há soluções alternativas para mitigar a vulnerabilidade.

A Nagios Enterprises anunciou a atualização do Nagios XI para a versão 2024R2.1, que inclui melhorias significativas de segurança e novas funcionalidades de gerenciamento SNMP. Um dos principais destaques é a correção de uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade Graph Explorer, que poderia permitir a injeção de scripts maliciosos através de parâmetros de URL. O pesquisador de segurança Marius Lihet foi reconhecido por divulgar a falha de forma responsável. Além disso, a atualização introduz novos níveis de licença, permitindo um controle mais granular sobre permissões de usuários e acesso a recursos em grandes implantações empresariais. A versão também removeu o suporte ao Ubuntu 20.04, exigindo que os administradores planejem migrações para manter a segurança da plataforma. A nova página de ‘SNMP Walk Jobs’ melhora a escalabilidade e confiabilidade em auditorias de dispositivos, enquanto a integração com o Nagios Mod-Gearman ajuda a manter o desempenho sob cargas pesadas. Com foco em segurança e flexibilidade, esta atualização é essencial para empresas que monitoram ambientes de rede complexos.