Kybernetická špionážní skupina Velvet Ant s vazbou na Čínu byla pozorována, jak využívá chybu nultého dne v softwaru Cisco NX-OS, který používá ve svých přepínačích, k doručování malwaru.
Zranitelnost označená jako CVE-2024-20399 (skóre CVSS: 6.0) se týká případu injektáže příkazů, která umožňuje ověřenému místnímu útočníkovi spouštět libovolné příkazy jako root v základním operačním systému postiženého zařízení.
„Zneužitím této zranitelnosti Velvet Ant úspěšně spustil dříve neznámý vlastní malware, který skupině hrozeb umožnil vzdáleně se připojit ke kompromitovaným zařízením Cisco Nexus, nahrát další soubory a spustit kód na zařízeních,“ uvedla kyberbezpečnostní firma Sygnia v prohlášení sdíleném s The Hacker News.
Cisco uvedlo, že problém pramení z nedostatečného ověření argumentů, které jsou předávány konkrétním konfiguračním příkazům CLI, které by mohly být zneužity protivníkem tím, že zahrnou vytvořený vstup jako argument ovlivněného konfiguračního příkazu CLI.
A co víc, umožňuje uživateli s oprávněními správce spouštět příkazy bez spouštění systémových zpráv syslogu, čímž umožňuje skrýt provádění příkazů shellu na hacknutých zařízeních.
Navzdory možnostem spuštění kódu chyby je nižší závažnost způsobena skutečností, že úspěšné zneužití vyžaduje, aby útočník již vlastnil přihlašovací údaje správce a měl přístup ke konkrétním konfiguračním příkazům. CVE-2024-20399 má vliv na následující zařízení:
Vícevrstvé přepínače řady MDS 9000
Přepínače řady Nexus 3000
Platformové přepínače Nexus 5500
Platformové přepínače Nexus 5600
Přepínače řady Nexus 6000
Přepínače řady Nexus 7000 a
Přepínače Nexus řady 9000 v samostatném režimu NX-OS
Společnost Sygnia uvedla, že během širšího forenzního vyšetřování, které proběhlo v uplynulém roce, objevila zneužití CVE-2024-20399. Společnost Cisco však poznamenala, že se o pokusu o zneužití zranitelnosti dozvěděla v dubnu 2024.
Velvet Ant byl poprvé zdokumentován izraelskou firmou zabývající se kybernetickou bezpečností minulý měsíc v souvislosti s kybernetickým útokem zaměřeným na nejmenovanou organizaci se sídlem ve východní Asii po dobu asi tří let, kdy prokazoval perzistenci pomocí zastaralých zařízení F5 BIG-IP s cílem tajně krást informace o zákaznících a finanční informace.
„Síťová zařízení, zejména switche, často nejsou monitorována a jejich protokoly často nejsou předávány do centralizovaného protokolovacího systému,“ řekl Sygnia. „Tento nedostatek monitorování vytváří značné problémy při identifikaci a vyšetřování škodlivých aktivit.“
Tento vývoj přichází v době, kdy aktéři hrozeb zneužívají kritickou zranitelnost postihující Wi-Fi routery D-Link DIR-859 (CVE-2024-0769, CVSS skóre: 9,8) – problém s průchodem cestou vedoucí k úniku informací – ke shromažďování informací o účtech, jako jsou jména, hesla, skupiny a popisy všech uživatelů.
„Varianty zneužití […] umožnit extrakci podrobností o účtu ze zařízení,“ uvedla společnost GreyNoise, která se zabývá zpravodajstvím o hrozbách. „Produkt je na konci životnosti, takže nebude opraven, což představuje dlouhodobé riziko zneužití. Pomocí této chyby zabezpečení lze vyvolat více souborů XML.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
