velvet ant

Cisco Switch Zero-day sérülékenység kihasználásával telepítenek malware-t a kínai hackerek

Megfigyelték, hogy a Kínához köthető Velvet Ant nevű hacker csoport aktívan kihasznál egy Cisco NX-OS zero-day sérülékenységet abból a célból, hogy rosszindulatú programokat telepítsenek.

A sérülékenység a CVE-2024-20399 azonosítón nyomon követhető, (CVSS pontszáma: 6.0) és egy command injection típusú hiba, ami lehetővé teszi egy hitelesített, helyi felhasználó számára, hogy tetszőleges parancsokat futtasson root jogosultsággal az eszköz operációs rendszerén. A sebezhetőség kihasználásával a Velvet Ant sikeresen telepíteni tudott egy egyedi malwaret, amivel a fenyegetési csoport távoli hozzáférést szerzett a kompromittált Cisco Nexus eszközökhöz.

A Cisco állítása szerint a probléma abból adódik, hogy nem megfelelően van ellenőrizve, milyen argumentumok kerülnek továbbadásra specifikus konfigurációhoz szükséges CLI parancsoknak. Egy támadó ezt kihasználhatja úgy, hogy manipulált bemenetet ad meg argumentumként az érintett konfigurációs parancsnak. Ezzel a támadó akár adminisztrátorként úgy is képes parancsokat végrehajtani, hogy azok nem kerülnek logolásra, így képesek elrejteni a shell parancsok lefutását későbbi ellenőrzések elől a feltört eszközökön.

Annak ellenére, hogy a sérülékenység RCE-t eredményezhet, relatíve alacsony a CVSS pontszáma. Ez annak köszönhető, hogy a sikeres támadás végrehajtásához a támadónak már eleve rendelkeznie kell adminisztrátor hozzáféréssel ahhoz, hogy a konfigurációs parancsokhoz hozzáférjen.

A CVE-2024-20399 által érintett eszközök listája a következő:

  • MDS 9000 Series Multilayer Switch-ek
  • Nexus 3000 Series Switch-ek
  • Nexus 5500 Platform Switch-ek
  • Nexus 5600 Platform Switch-ek
  • Nexus 6000 Series Switch-ek
  • Nexus 7000 Series Switch-ek, és
  • Nexus 9000 Series Switch-ek standalone NX-OS módban

A Velvet Ant csoportot először egy izraeli kiberbiztonsági cég dokumentálta a múlt hónapban egy kibertámadás kapcsán, amely egy meg nem nevezett kelet-ázsiai szervezetet célzott meg. A támadók elavult F5 BIG-IP eszközöket használtak a perzisztencia fenntartásához, és így észrevétlenül képesek voltak ügyfél és pénzügyi adatok ellopására 3 éven keresztül.

(thehackernews.com)