Η Cisco έχει επιδιορθώσει ένα
NX-OS
zero
-day που εκμεταλλεύτηκε τις επιθέσεις του Απριλίου για να εγκαταστήσει άγνωστο κακόβουλο λογισμικό ως root σε ευάλωτους διακόπτες.
Η εταιρεία κυβερνοασφάλειας Sygnia, η οποία ανέφερε τα περιστατικά στη Cisco, συνέδεσε τις επιθέσεις με έναν κινεζικό κρατικό παράγοντα απειλών που παρακολουθεί ως Velvet Ant.
«Η Sygnia εντόπισε αυτήν την εκμετάλλευση κατά τη διάρκεια μιας μεγαλύτερης ιατροδικαστικής
έρευνα
ς για την ομάδα κυβερνοκατασκοπείας China-nexus που παρακολουθούμε ως Velvet Ant», είπε ο Amnon Kushnir, Διευθυντής Αντιμετώπισης Συμβάντων στη Sygnia, στο BleepingComputer.
“Οι παράγοντες απειλών συγκέντρωσαν διαπιστευτήρια σε επίπεδο διαχειριστή για να αποκτήσουν πρόσβαση στους διακόπτες Cisco Nexus και να αναπτύξουν ένα προσαρμοσμένο κακόβουλο λογισμικό που τους επέτρεπε να συνδεθούν εξ αποστάσεως σε παραβιασμένες συσκευές, να ανεβάσουν επιπλέον αρχεία και να εκτελέσουν κακόβουλο κώδικα.”
Η Cisco λέει ότι η ευπάθεια (που παρακολουθείται ως CVE-2024-20399) μπορεί να αξιοποιηθεί από τοπικούς εισβολείς με δικαιώματα διαχειριστή για την
εκτέλεση
αυθαίρετων εντολών με δικαιώματα root στα υποκείμενα λειτουργικά συστήματα ευάλωτων συσκευών.
“Αυτή η ευπάθεια οφείλεται σε ανεπαρκή επικύρωση ορισμάτων που μεταβιβάζονται σε συγκεκριμένες εντολές CLI διαμόρφωσης. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια συμπεριλαμβάνοντας δημιουργημένη είσοδο ως το όρισμα μιας επηρεαζόμενης εντολής CLI διαμόρφωσης,” Cisco
εξηγεί
.
“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εκτελεί αυθαίρετες εντολές στο υποκείμενο λειτουργικό σύστημα με τα δικαιώματα του root.”
Η λίστα των επηρεαζόμενων συσκευών περιλαμβάνει πολλούς διακόπτες που εκτελούν ευάλωτο λογισμικό NX-OS:
-
Διακόπτες πολλαπλών επιπέδων MDS 9000
Series
- Διακόπτες Nexus 3000 Series
- Διακόπτες πλατφόρμας Nexus 5500
- Διακόπτες πλατφόρμας Nexus 5600
- Διακόπτες Nexus 6000 Series
- Διακόπτες Nexus 7000 Series
- Το Nexus 9000 Series αλλάζει σε αυτόνομη λειτουργία NX-OS
Το ελάττωμα ασφαλείας επιτρέπει επίσης στους εισβολείς να εκτελούν εντολές χωρίς να προκαλούν μηνύματα συστήματος καταγραφής συστήματος, επιτρέποντάς τους έτσι να κρύβουν σημάδια συμβιβασμού σε παραβιασμένες συσκευές NX-OS.
Η Cisco συμβουλεύει τους πελάτες να παρακολουθούν και να αλλάζουν τακτικά τα διαπιστευτήρια των χρηστών διαχειριστών δικτύου και vdc-admin.
Οι διαχειριστές μπορούν να χρησιμοποιήσουν το
Έλεγχος λογισμικού Cisco
σελίδα για να προσδιορίσετε εάν οι συσκευές στο δίκτυό τους εκτίθενται σε επιθέσεις που στοχεύουν την ευπάθεια CVE-2024-20399.
Τον Απρίλιο, η Cisco προειδοποίησε επίσης ότι μια ομάδα hacking που υποστηρίζεται από το κράτος (που παρακολουθείται ως UAT4356 και STORM-1849) εκμεταλλευόταν πολλαπλά σφάλματα zero-day (CVE-2024-20353 και CVE-2024-20359) στο Adaptive Security Appliance (ASA) και Firewalls Firepower Threat Defense (FTD) από τον Νοέμβριο του 2023 σε μια καμπάνια με το όνομα ArcaneDoor που στοχεύει κυβερνητικά δίκτυα σε όλο τον κόσμο.
Εκείνη την εποχή, η εταιρεία πρόσθεσε ότι βρήκε επίσης στοιχεία ότι οι χάκερ είχαν δοκιμάσει και είχαν αναπτύξει εκμεταλλεύσεις για να στοχεύσουν τα ελαττώματα του zero-day τουλάχιστον από τον Ιούλιο του 2023.
Εκμεταλλεύτηκαν τα τρωτά σημεία για να εγκαταστήσουν προηγουμένως άγνωστο κακόβουλο λογισμικό που τους επέτρεπε να διατηρήσουν την επιμονή σε παραβιασμένες συσκευές ASA και FTD. Ωστόσο, η Cisco είπε ότι δεν έχει ακόμη εντοπίσει τον αρχικό φορέα επίθεσης που χρησιμοποιήθηκε από τους εισβολείς για να παραβιάσουν τα δίκτυα των θυμάτων.
Τον περασμένο μήνα, η Sygnia είπε ότι το Velvet Ant στόχευσε συσκευές F5 BIG-IP με προσαρμοσμένο κακόβουλο λογισμικό σε μια καμπάνια κυβερνοκατασκοπείας. Σε αυτήν την εκστρατεία, χρησιμοποίησαν επίμονη πρόσβαση στα δίκτυα των θυμάτων τους για να κλέψουν κρυφά ευαίσθητες πληροφορίες πελατών και οικονομικές πληροφορίες για τρία χρόνια, αποφεύγοντας τον εντοπισμό.
VIA:
bleepingcomputer.com
0