Cisco libera parche tras explotarse una vulnerabilidad SNMP que permite instalar un rootkit en switches

Cisco ha publicado actualizaciones de seguridad tras confirmarse la explotación real de una vulnerabilidad en el subsistema SNMP de Cisco IOS / IOS XE que permitía a atacantes desplegar un rootkit y obtener persistencia en sistemas no protegidos. Se recomienda aplicar los parches cuanto antes y revisar dispositivos ante un posible compromiso del sistema.

Cisco ha advertido de una vulnerabilidad de riesgo alto en el servicio de SNMP (Simple Network Management Protocol) en Cisco IOS e IOS XE, catalogado como (CVE-2025-20352). La vulnerabilidad, se debe a una condición de desbordamiento de pila en el servicio SNMP, que puede derivar en una denegación de servicio (DoS) por parte de un atacante con privilegios bajos o, en escenarios con credenciales comprometidas y privilegios elevados, en ejecución remota de código con privilegios como root.

Investigadores de Trend Micro han documentado una campaña activa, denominada “Operation Zero Disco”, en la que los atacantes explotaban precisamente (CVE-2025-20352) para desplegar un rootkit en switches Cisco afectados. El rootkit incluye un controlador UDP que puede escuchar en cualquier puerto, manipular o borrar logs, eludir AAA y ACLs VTY, activar una “contraseña universal” con la palabra disco, ocultar elementos de la configuración en ejecución y alterar marcas de tiempo, lo que facilita la persistencia y la ocultación tras el compromiso.

En un ataque simulado, los investigadores demostraron que es posible desactivar el registro, suplantar la IP de una estación intermedia mediante la suplantación de ARP, eludir las reglas internas del cortafuegos y moverse lateralmente entre VLAN.

**Resumen del ataque simulado**
Source: Trend Micro

Productos Afectados

La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados:

PRODUCTO AFECTADO – VULNERABILIDAD	RIESGO	CVE
Cisco IOS / IOS XE (SNMP habilitado) — Catalyst 9400 / 9300 / 3750G Stack overflow en SNMP → DoS / RCE (root)	Alto (CVSS 7.7 según NVD)	CVE-2025-20352

Solución

Cisco recomienda actualizar y parchear los productos afectados, para ello ha publicado actualizaciones de software, que solucionan las vulnerabilidades descritas y pueden ser descargadas desde el Centro de Software.

Cisco recomienda:

Aplicar parches oficiales: descargar e instalar las versiones indicadas en el advisory de Cisco.
Deshabilitar SNMP en dispositivos que no lo necesiten o restringir su alcance a redes de gestión seguras (ACLs, VRFs).
Reforzar controles de credenciales: cambiar/rotar contraseñas administrativas y revisar cuentas de administrador locales comprometidas.
Revisión forense en dispositivos sospechosos: Trend Micro indica que no existe una herramienta única y fiable para detectar el rootkit; ante la sospecha, realizar investigación a bajo nivel del firmware/ROM y comparar imágenes de referencia. Si se confirma compromiso, considerar reinstalación completa de firmware desde medios de confianza.
Monitorización e IoCs: consultar las listas de indicadores de compromiso (IoC) publicadas por Trend Micro y otras firmas y añadirlos a sistemas de detección.