思科交换机曝“零迪斯科”攻击，SNMP漏洞沦为黑客持久化后门

主要观点总结

本文报道了一场被命名为“零迪斯科行动”的高级持续性威胁活动，该活动针对思科交换机设备展开攻击。攻击者利用思科IOS及IOS XE软件中的SNMP漏洞CVE-2025-20352，在受影响设备上部署了Linux Rootkit。这一攻击实现了远程代码执行，并采用了高度隐蔽的持久化手段，使攻击者能长期潜伏于网络深处。尤其值得注意的是，攻击者不仅利用了最新的SNMP漏洞，还融合了旧版Telnet漏洞进行攻击，显示出对网络设备特性的深入了解。此外，攻击者还通过ARP欺骗和IP伪装实现跨VLAN横向移动。

关键观点总结

关键观点1: 攻击者利用思科设备中的SNMP漏洞CVE-2025-20352进行攻击。

攻击者通过发送特制SNMP数据包，将恶意命令拆分注入系统，实现了远程代码执行。

关键观点2: 攻击具有高度的技术复杂性和针对性。

攻击者不仅利用了最新的SNMP漏洞，还尝试融合旧版Telnet漏洞进行组合打击，显示出对网络设备特性的深入了解。

关键观点3: 受影响的设备主要是未及时升级的旧型号交换机。

这些设备若未及时更新补丁或缺乏有效的端点检测与响应机制，极易受到攻击。

关键观点4: 成功植入的Rootkit具备多重隐匿功能。

Rootkit能够动态开关日志、绕过关键认证、隐藏配置变更，并在设备重启后“人间蒸发”，增加了安全团队发现和取证的难度。

关键观点5: 攻击者通过ARP欺骗和IP伪装实现跨VLAN横向移动。

这一行动展示了现代网络安全攻防中针对网络基础设施层的定向攻击是最具破坏性的威胁之一，对企业核心数据资产和业务连续性构成了前所未有的挑战。