Zero Disco Operasyonunun Temelleri
Trend Micro’nun ortaya koyduğu “Operation Zero Disco”, Cisco cihazlarındaki SNMP alt sisteminde bulunan CVE-2025-20352 yığın taşması açığını hedef alıyor. Kimlik doğrulaması yapılmış saldırganlar, özel hazırlanmış SNMP paketleriyle hedef sistemlerde rastgele kod çalıştırabiliyor. Cisco, açığı geçtiğimiz ay yamaladı ancak saldırılar yama öncesinde sıfır gün olarak kullanıldı.
Hedef Cihazlar ve Ek Saldırı Yöntemleri
Özellikle Cisco 9400, 9300 ve eski 3750G serisi cihazlar etkilenirken, saldırganlar CVE-2017-3881 baz alınarak değiştirilmiş Telnet açığını kullanarak bellek erişimi sağlamaya çalıştı. Bu çok katmanlı yaklaşım, saldırının karmaşıklığını artırıyor ve sistemlere derinlemesine nüfuz edilmesine olanak tanıyor.
Rootkitlerin İşleyişi ve Kalıcılık Sağlama Yöntemleri
Saldırganlar, IOS daemon (IOSd) üzerinde kancalar kurarak Linux çekirdeği tabanlı süreçlerde uzaktan kod çalıştırma imkanı elde ediyor. Rootkitler, evrensel şifreler belirleyerek kalıcı ve yetkisiz erişim sağlıyor. Özellikle eski Linux sistemleri ve uç nokta algılama çözümleri olmayan ortamlar hedeflenerek tespit edilmeden yerleşim sağlanıyor.
Teknik Detaylar ve Koruma Mekanizmaları
Tehdit aktörleri, CVE-2017-3881’in modifiye edilmiş versiyonuyla bellek okuma/yazma işlemleri gerçekleştiriyor ancak bu işlevselliğin tam kapsamı henüz netleşmedi. IOSd üzerine kurulan kancalar, yeniden başlatma sonrası dosyasız bileşenlerin kaybolmasına neden oluyor. ASLR gibi modern koruma mekanizmaları saldırı başarı oranını düşürse de, tekrar eden saldırı denemeleri hâlâ risk oluşturuyor.