كشف باحثو الأمن السيبراني عن حملة جديدة استغلت ثغرة أُعلن عنها مؤخرًا تؤثر على برمجيات Cisco IOS وIOS XE، حيث استخدم المهاجمون خللًا في نظام SNMP (بروتوكول إدارة الشبكات البسيط) لنشر rootkits على أنظمة Linux القديمة وغير المحمية.
تفاصيل الثغرة وطبيعتها
تحمل الثغرة الرمز CVE-2025-20352، وحصلت على درجة خطورة 7.7 وفق تصنيف CVSS، إذ تُعد من نوع stack overflow في مكون SNMP، ما يتيح لمهاجم عن بُعد يمتلك بيانات اعتماد صالحة تنفيذ تعليمات برمجية عشوائية عبر إرسال حزم SNMP مُشكّلة بعناية إلى الجهاز المستهدف.
أصدرت شركة Cisco تصحيحًا للثغرة في أواخر الشهر الماضي، بعد أن تم استغلالها فعليًا كـ”ثغرة يوم صفر” في هجمات حقيقية قبل صدور الإصلاح.
كيفية الاستغلال وآلية عمل الـ Rootkits
أطلقت شركة Trend Micro على الحملة اسم Operation Zero Disco، وأوضحت أن المهاجمين استخدموا الثغرة لتنصيب Rootkits مكّنتهم من تنفيذ تعليمات برمجية عن بُعد والحصول على وصول دائم غير مصرح به، وذلك عبر تعيين كلمات مرور عامة تتضمن كلمة “disco” وتثبيت تعليمات (Hooks) داخل مساحة ذاكرة عملية IOSd — وهي العملية البرمجية التي تعمل داخل نواة نظام Linux في أجهزة Cisco.
وأشارت الشركة إلى أن بعض مكونات البرمجيات الخبيثة كانت عديمة الملفات (fileless) وتختفي بعد إعادة التشغيل، ما يجعل اكتشافها أكثر صعوبة.
الأهداف وطرق التمويه
استهدفت الحملة بشكل أساسي أجهزة Cisco 9400 و9300 وسلسلة 3750G القديمة، كما حاول المهاجمون استغلال ثغرة Telnet معدّلة مستندة إلى CVE-2017-3881 تتيح القراءة والكتابة في الذاكرة بعناوين عشوائية.
وتميّزت الهجمات بتركيزها على الأنظمة القديمة التي تفتقر إلى حلول الكشف والاستجابة للنقاط الطرفية (EDR)، ما أتاح نشر الـRootkits دون اكتشاف. كما استخدم القراصنة عناوين IP وأسماء بريد إلكتروني مزيفة لإخفاء هويتهم.
سبل الحماية والتوصيات
أوضح الباحثون أن بعض طرازات أجهزة Cisco الحديثة توفر حماية جزئية عبر تقنية ASLR (توزيع فضاء العناوين العشوائي)، التي تقلل من احتمالية نجاح الهجمات، لكن المحاولات المتكررة ما تزال قادرة على تجاوزها.
ونظرًا لأن الثغرة استُغلت بالفعل قبل طرح التصحيح، أوصت شركات الأمن السيبراني والمؤسسات الدفاعية بضرورة تطبيق تحديثات Cisco الأمنية فورًا، وتمكين حلول المراقبة والاكتشاف، وفحص الأجهزة للتحقق من مؤشرات الاختراق مثل ظهور كلمات مرور عالمية أو تغييرات غير مألوفة في عملية IOSd.
