كشف باحثو الأمن السيبراني عن تفاصيل حملة هجومية جديدة استغلت ثغرة أمنية في أنظمة Cisco. تم الكشف عنها مؤخراً في برامج Cisco IOS Software و IOS XE Software. سمحت هذه الثغرة بنشر برمجيات خبيثة من نوع “روت كيت” (rootkits) على أنظمة لينكس القديمة وغير المحمية. وقد أطلق على هذه الأنشطة اسم “عملية زيرو ديسكو” (Operation Zero Disco).

تفاصيل الثغرة والهجوم

تتضمن الحملة استغلال الثغرة الأمنية CVE-2025-20352 (بدرجة خطورة 7.7)، وهي ثغرة تجاوز سعة المخزن المؤقت (stack overflow) في النظام الفرعي لبروتوكول إدارة الشبكة البسيط (SNMP). تسمح هذه الثغرة للمهاجم المصادق عليه عن بعد بتنفيذ تعليمات برمجية عشوائية عن طريق إرسال حزم SNMP معدة خصيصاً إلى الجهاز المستهدف.

“تستهدف العملية بشكل أساسي أجهزة Cisco 9400 و 9300 وسلسلة 3750G القديمة، مع محاولات إضافية لاستغلال ثغرة Telnet معدلة لتمكين الوصول إلى الذاكرة.”

تم تصحيح الثغرة من قبل Cisco في أواخر الشهر الماضي، ولكن ليس قبل أن يتم استغلالها كـ “يوم صفر” (zero-day) في هجمات حقيقية.

خصائص الـ Rootkit

لاحظت شركة Trend Micro أن الـ rootkits سمحت للمهاجمين بتحقيق تنفيذ التعليمات البرمجية عن بعد واكتساب وصول مستمر وغير مصرح به عن طريق تعيين كلمات مرور عامة وتثبيت خطافات (hooks) في مساحة ذاكرة Cisco IOS daemon (IOSd).

من الجوانب البارزة الأخرى لهذه الهجمات، أنها استهدفت الضحايا الذين يشغلون أنظمة لينكس قديمة لا تحتوي على حلول الكشف عن نقاط النهاية والاستجابة (EDR)، مما سمح بنشر الـ rootkits دون أن يتم اكتشافها. كما استخدم المهاجمون عناوين IP وعناوين بريد إلكتروني مزيفة في عمليات التطفل.

“زيرو ديسكو”: كلمة مرور غريبة

اسم “زيرو ديسكو” يشير إلى حقيقة أن الـ rootkit المزروع يقوم بتعيين كلمة مرور عامة تتضمن كلمة “disco” – وهو تغيير حرف واحد فقط عن كلمة “Cisco”.

“يقوم البرنامج الضار بعد ذلك بتثبيت عدة خطافات على IOSd، مما يؤدي إلى اختفاء المكونات غير الملفية بعد إعادة التشغيل.”

توفر نماذج المحولات الأحدث بعض الحماية عبر ميزة “عشوائية تخطيط مساحة العنوان” (ASLR)، مما يقلل من معدل نجاح محاولات الاختراق، ولكن لا يزال من الممكن أن تنجح المحاولات المتكررة.

الخلاصة

تسلط هذه العملية الضوء على الأهمية القصوى لتحديث الأنظمة والبرامج بانتظام، خاصة في البنى التحتية الحيوية. كما تؤكد على ضرورة استخدام حلول أمنية متقدمة للكشف عن التهديدات المستمرة والاستجابة لها، حتى في الأنظمة القديمة. يجب على المؤسسات التي تستخدم أجهزة Cisco أو أنظمة Linux مراجعة أنظمتها للتأكد من عدم استغلال هذه الثغرة فيها.