Cisco a remediat un zero-day NX-OS exploatat în atacurile din aprilie pentru a instala un malware anterior necunoscut ca root pe switch-urile vulnerabile.
Firma de securitate cibernetică Sygnia, care a raportat incidentele către Cisco, a legat atacurile de un actor de amenințare finanțat de statul chinez pe care-l urmărește ca Velvet Ant.
„Sygnia a detectat această exploatare în timpul unei investigații mai ample în grupul de cyber-spionaj cu nexo chinez pe care îl urmărim ca Velvet Ant,” a declarat Amnon Kushnir, Directorul de Răspuns la Incidente la Sygnia, pentru BleepingComputer.
„Actorii de amenințare au adunat acreditările la nivel de administrator pentru a obține acces la switch-urile Cisco Nexus și pentru a implementa un malware personalizat anterior necunoscut care le-a permis să se conecteze la distanță la dispozitivele compromise, să încarce fișiere suplimentare și să execute coduri malitioase.”
Cisco spune că vulnerabilitatea (urmărită ca CVE-2024-20399) poate fi exploatată de atacatori locali cu privilegii de Administrator pentru a executa comenzi arbitrare cu permisiuni de root pe sistemele de operare subiacente ale dispozitivelor vulnerabile.
„Această vulnerabilitate se datorează unei validări insuficiente a argumentelor care sunt transmise la anumite comenzi CLI de configurare specifice. Un atacator ar putea exploata această vulnerabilitate incluzând intrare manipulată ca argument al unei comenzi CLI de configurare afectate,” explică Cisco.
„O exploatare reușită ar putea permite atacatorului să execute comenzi arbitrare pe sistemul de operare subiacent cu privilegiile de root.”
Lista dispozitivelor afectate include mai multe switch-uri care rulează software-ul NX-OS vulnerabil:
Deficiența de securitate permite de asemenea atacatorilor să execute comenzi fără a declanșa mesaje de syslog ale sistemului, permițându-le astfel să ascundă semnele compromiterii dispozitivelor NX-OS piratate.
Cisco își sfătuiește clienții să monitorizeze și să schimbe regulat acreditările utilizatorilor administrativi de rețea și vdc-admin.
Administratorii pot folosi pagina de verificare a software-ului Cisco pentru a determina dacă dispozitivele de pe rețeaua lor sunt expuse la atacuri care vizează vulnerabilitatea CVE-2024-20399.
În aprilie, Cisco a avertizat, de asemenea, că un grup de hackeri sprijiniți de stat (urmărit ca UAT4356 și STORM-1849) a exploatat mai multe bug-uri zero-day (CVE-2024-20353 și CVE-2024-20359) în Adaptive Security Appliance (ASA) și Firepower Threat Defense (FTD) firewalls începând din noiembrie 2023 într-o campanie denumită ArcaneDoor care vizează rețelele guvernamentale din întreaga lume.
La acea vreme, compania a adăugat că a găsit, de asemenea, dovezi că hackerii au testat și au dezvoltat exploit-uri pentru a viza bug-urile zero-day începând cu cel puțin iulie 2023.
Atacatorii au exploatat vulnerabilitățile pentru a instala un malware anterior necunoscut care le-a permis să mențină persistența pe dispozitivele compromise ASA și FTD. Cu toate acestea, Cisco a spus că încă nu a identificat vectorul de atac inițial folosit de atacatori pentru a sparge rețelele victimelor.
Luna trecută, Sygnia a declarat că Velvet Ant a vizat aparatele F5 BIG-IP cu malware personalizat într-o campanie de cyber-spionaj. În această campanie, aceștia au folosit accesul persistent la rețelele victimelor pentru a fura în mod discret informații sensibile ale clienților și financiare timp de trei ani evitând detectarea.
Hackerii folosesc malware-ul F5 BIG-IP pentru a fura în mod discret date timp de ani
Hackerii chinezi au spart 20.000 de sisteme FortiGate la nivel mondial
Microsoft remediază zero-day-ul Windows exploatat în atacurile malware QakBot
Noul actor de amenințare Unfurling Hemlock inundă sistemele cu malware
Malware-ul Snowblind abuzează de funcția de securitate Android pentru a ocoli securitatea
Leave a Reply