17 Oktober 2025 — oleh Bill Toulas – Kelompok peretas dilaporkan mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE) bernomor CVE-2025-20352 pada perangkat jaringan Cisco lama untuk menanam rootkit Linux dan mendapatkan akses persisten ke dalam jaringan target.
⚠️ Eksploitasi Celah SNMP Cisco IOS dan IOS XE
Kerentanan tersebut berada pada Simple Network Management Protocol (SNMP) di sistem operasi Cisco IOS dan IOS XE.
Jika berhasil dieksploitasi oleh pelaku dengan hak akses root, bug ini memungkinkan mereka menjalankan kode berbahaya dari jarak jauh (RCE).
Menurut laporan dari Trend Micro, serangan menargetkan seri perangkat berikut:
- Cisco Catalyst 9400
- Cisco Catalyst 9300
- Cisco 3750G (legacy model)
Perangkat-perangkat tersebut umumnya tidak memiliki solusi endpoint detection and response (EDR), sehingga lebih mudah disusupi.
🎯 Operasi “Zero Disco”
Peneliti Trend Micro menamai kampanye ini “Operation Zero Disco”, karena malware yang digunakan menetapkan kata sandi universal berisi kata “disco”.
Selain mengeksploitasi CVE-2025-20352, pelaku juga mencoba memanfaatkan celah lama CVE-2017-3881, kerentanan berusia tujuh tahun pada Cluster Management Protocol (CMP) di IOS/IOS XE.
🧩 Kemampuan Rootkit
Rootkit yang ditanamkan mampu:
- Menyediakan UDP controller yang bisa mendengarkan di port mana pun.
- Menonaktifkan atau menghapus log aktivitas sistem.
- Melewati kontrol AAA (Authentication, Authorization, Accounting) dan VTY ACLs.
- Mengaktifkan/mematikan password universal untuk akses global.
- Menyembunyikan konfigurasi aktif serta mengatur ulang timestamp perubahan terakhir agar tidak terdeteksi.
Dalam simulasi Trend Micro, peretas bisa:
- Menonaktifkan logging,
- Melakukan ARP spoofing untuk meniru alamat IP internal,
- Melewati firewall internal,
- Dan berpindah antar-VLAN secara lateral.
🧠 Varian 32-bit & 64-bit Ditemukan
Trend Micro berhasil memulihkan dua varian exploit SNMP, yakni 32-bit dan 64-bit, yang digunakan untuk memasang rootkit di perangkat yang rentan.
Perusahaan menambahkan bahwa setelah reboot, komponen fileless rootkit akan hilang dari memori, namun hook yang tertanam pada IOSd tetap aktif sehingga akses berbahaya dapat dipulihkan.
🔍 Tidak Ada Alat Deteksi Publik
Saat ini belum ada alat resmi yang mampu mendeteksi secara akurat apakah sebuah switch Cisco telah terinfeksi rootkit ini.
Jika ada indikasi kompromi, disarankan untuk:
- Melakukan investigasi mendalam pada firmware dan ROM,
- Memverifikasi integritas file sistem,
- Dan segera memperbarui firmware ke versi terbaru yang telah menambal CVE-2025-20352.
Cisco sendiri telah memperbarui buletin keamanannya pada 6 Oktober 2025, menandai kerentanan ini sebagai zero-day yang telah dieksploitasi secara aktif.
🛡️ Perlindungan yang Disarankan
Untuk memitigasi risiko, organisasi disarankan untuk:
- Segera menerapkan patch terbaru dari Cisco.
- Menonaktifkan SNMP publik jika tidak diperlukan.
- Membatasi akses manajemen jaringan hanya dari subnet tepercaya.
- Memantau aktivitas anomali melalui syslog dan NetFlow.
Sumber: Trend Micro, Cisco PSIRT