Por Mid 
Cisco libera parche tras explotarse una vulnerabilidad SNMP que permite instalar un rootkit en switches
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- Vulnerabilidad CVE-2025-20352 en SNMP permite ejecución remota de código (RCE) en switches de Cisco.
- Se recomienda aplicar parches inmediatamente para mitigar el riesgo de ataque.
- Los atacantes pueden usar rootkits para mantener persistencia en los dispositivos comprometidos.
- Investigaciones de Trend Micro han identificado una campaña activa que explota esta vulnerabilidad.
- Reforzar credenciales y deshabilitar SNMP en dispositivos innecesarios son pasos cruciales de seguridad.
Índice
Vulnerabilidad CVE-2025-20352
Recientemente, Cisco ha emitido actualizaciones de seguridad tras la confirmación de que una vulnerabilidad en el subsistema SNMP de Cisco IOS/IOS XE ha sido explotada. Esta vulnerabilidad permitía a atacantes instalar un rootkit y mantener persistencia en sistemas no asegurados. Es fundamental aplicar los parches a la brevedad y revisar los dispositivos para detectar posibles compromisos.
La vulnerabilidad, identificada como CVE-2025-20352, presenta un alto riesgo. Afecta el servicio SNMP (Simple Network Management Protocol) en las versiones de Cisco IOS e IOS XE. Se origina en una condición de desbordamiento de pila dentro del servicio SNMP, lo que podría resultar en una denegación de servicio (DoS) si es explotada por un atacante con privilegios bajos. Sin embargo, en situaciones donde las credenciales estén comprometidas y se cuente con privilegios elevados, podría permitir la ejecución remota de código con privilegios de root.
Resumen del ataque simulado
Investigaciones llevadas a cabo por Trend Micro han señalado una campaña activa, conocida como “Operation Zero Disco”, donde los atacantes se aprovecharon de CVE-2025-20352 para implementar un rootkit en switches de Cisco afectados. Este rootkit incluye un controlador UDP, habilitado para escuchar en cualquier puerto, manipular o borrar registros, eludir AAA y ACLs VTY, activar una “contraseña universal” utilizando la palabra disco, ocultar elementos en la configuración en ejecución y modificar marcas de tiempo. Tales características facilitan la persistencia del atacante y su ocultamiento tras el compromiso.
Durante un ataque simulado, investigadores demostraron la posibilidad de desactivar el registro, suplantar la IP de una estación intermedia a través de ARP spoofing, eludir las reglas del cortafuegos interno y movilizarse lateralmente entre VLAN.
Productos Afectados
Cisco ha emitido un aviso de seguridad, listando los productos afectados:
- Producto afectado: Vulnerabilidad – Riesgo – CVE
- Cisco IOS / IOS XE (SNMP habilitado) — Catalyst 9400 / 9300 / 3750G: Stack overflow en SNMP → DoS / RCE (root) Alto (CVSS 7.7 según NVD) CVE-2025-20352
Solución
Para mitigar el riesgo, Cisco recomienda la aplicación de parches en los productos afectados. Se han publicado actualizaciones de software que solucionan las vulnerabilidades mencionadas, disponibles para descarga en el Centro de Software. Las recomendaciones de Cisco son las siguientes:
- Aplicar parches oficiales: Descargar e instalar las versiones indicadas en el aviso de seguridad de Cisco.
- Deshabilitar SNMP: En los dispositivos que no requieren esta funcionalidad, o restringir su acceso a redes de gestión seguras utilizando ACLs o VRFs.
- Reforzar controles de credenciales: Cambiar y rotar contraseñas administrativas, además de revisar cuentas de administrador locales que puedan estar comprometidas.
- Investigación forense en dispositivos sospechosos: Trend Micro señala que no existe una herramienta única y fiable para detectar el rootkit; en caso de sospecha, se debe realizar una revisión en profundidad del firmware/ROM y comparar con imágenes de referencia. Si se determina un compromiso, se aconseja reinstalar completamente el firmware desde fuentes de confianza.
- Monitorización e IoCs: Consultar las listas de indicadores de compromiso (IoC) que han sido publicadas por Trend Micro y otras firmas, añadiéndolos a los sistemas de detección.