Cisco устранила уязвимость нулевого дня NX-OS, использованную для установки ранее неизвестного вредоносного ПО с root-правами на уязвимые коммутаторы Cisco Nexus.
ИБ-компания Sygnia первая сообщила о zero-day уязвимости в Cisco и связала атаки с китайскими правительственными хакерами Velvet Ant. Основной целью группы является шпионаж, и она фокусируется на установлении долгосрочного доступа к сети жертвы.
По данным Sygnia, злоумышленники собрали учетные данные администратора, чтобы получить доступ к коммутаторам Cisco Nexus и развернуть ранее неизвестное вредоносное ПО, которое позволило удаленно подключаться ко взломанным устройствам, загружать дополнительные файлы и выполнять вредоносный код. Хакеры Velvet Ant, вероятно, сначала взломали сеть организации, прежде чем воспользоваться уязвимостью.
Уязвимость CVE-2024-20399 (оценка CVSS: 6.0) вызвана недостаточной проверкой аргументов, которые передаются определенным CLI-командам конфигурации. Злоумышленник может воспользоваться уязвимостью, включив специально созданные входные данные в качестве аргумента уязвимой CLI-команды конфигурации. Эксплуатация ошибки позволяет злоумышленнику выполнять произвольные команды в базовой операционной системе с root-правами.
Эксплуатация ошибки позволяет злоумышленнику выполнять произвольные команды в базовой операционной системе с root-правами, не вызывая сообщений системного журнала, что дает возможность скрывать признаки компрометации взломанных устройств NX-OS.
Список затронутых устройств включает несколько коммутаторов, работающих под управлением уязвимого программного обеспечения NX-OS:
Cisco рекомендует клиентам регулярно отслеживать и изменять учетные данные администраторов сети и vdc-admin. Администраторы могут использовать страницу Cisco Software Checker, чтобы определить, подвержены ли устройства в их сети атакам с использованием данной ошибки.
Velvet Ant была впервые задокументирована Sygnia в мае в связи с кибератакой на неназванную организацию в Восточной Азии, которая продолжалась около трех лет, напоминает Securitylab. Вредоносная программа использовала устаревшие устройства F5 BIG-IP для скрытой кражи клиентской и финансовой информации.