Cisco ha parcheado una vulnerabilidad Zero-Day de NX-OS explotado en abril para instalar malware previamente desconocido como raíz en switches vulnerables.
La empresa de ciberseguridad Sygnia, que informó de los incidentes a Cisco, vinculó los ataques con un actor de amenazas patrocinado por el estado chino al que rastrea como Velvet Ant. "Sygnia detectó esta explotación durante una investigación forense más amplia sobre el grupo de ciberespionaje del nexo con China que estamos rastreando como Velvet Ant", dijo Amnon Kushnir, director de respuesta a incidentes de Sygnia.
"Los actores de amenazas reunieron credenciales de nivel de administrador para obtener acceso a los switches Cisco Nexus e implementar un malware personalizado previamente desconocido que les permitió conectarse de forma remota a dispositivos comprometidos, cargar archivos adicionales y ejecutar código malicioso".
Cisco dice que la vulnerabilidad identificada como CVE-2024-20399 puede ser explotada por atacantes locales con privilegios de administrador para ejecutar comandos arbitrarios con permisos de root en los sistemas operativos subyacentes de los dispositivos vulnerables.
"Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos. Un atacante podría explotar esta vulnerabilidad incluyendo entradas manipuladas como argumento de un comando CLI de configuración afectado", explica Cisco.
"Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root".
La lista de dispositivos afectados incluye varios switches que ejecutan software NX-OS vulnerable:
- MDS 9000 Series Multilayer Switches (CSCwj97007)
- Nexus 3000 Series Switches (CSCwj97009)1
- Nexus 5500 Platform Switches (CSCwj97011)
- Nexus 5600 Platform Switches (CSCwj97011)
- Nexus 6000 Series Switches (CSCwj97011)
- Nexus 7000 Series Switches (CSCwj94682)2
- Nexus 9000 Series Switches in standalone NX-OS mode (CSCwj97009)
La falla de seguridad también permite a los atacantes ejecutar comandos sin activar mensajes de syslog del sistema, lo que les permite ocultar signos de compromiso en los dispositivos NX-OS atacados.
Cisco recomienda a los clientes que supervisen y cambien periódicamente las credenciales de los usuarios administrativos de vdc-admin.
Los administradores pueden utilizar la página Cisco Software Checker para determinar si los dispositivos de su red están expuestos a ataques dirigidos a la vulnerabilidad CVE-2024-20399.
En abril, Cisco también advirtió que un grupo de hackers respaldado por el estado (seguido como UAT4356 y STORM-1849) había estado explotando múltiples errores Zero-Day (CVE-2024-20353 y CVE-2024-20359) en Adaptive Security Appliance (ASA) y firewalls Firepower Threat Defense (FTD) desde noviembre de 2023 en una campaña denominada ArcaneDoor dirigida a redes gubernamentales en todo el mundo.
En ese momento, la compañía agregó que también encontró evidencia de que los delincuentes informáticos habían probado y desarrollado exploits para atacar las fallas de día cero desde al menos julio de 2023. Explotaron las vulnerabilidades para instalar malware previamente desconocido que les permitió mantener la persistencia en dispositivos ASA y FTD comprometidos. Sin embargo, Cisco dijo que aún tenía que identificar el vector de ataque inicial utilizado por los atacantes para violar las redes de las víctimas.
El mes pasado, Sygnia dijo que Velvet Ant apuntó a dispositivos F5 BIG-IP con malware personalizado en una campaña de ciberespionaje. En esta campaña, utilizaron el acceso persistente a las redes de sus víctimas para robar sigilosamente información confidencial y financiera de clientes durante tres años mientras evitaban ser detectados.
CISA ya agregó CVE-2024-20399 a su catálogo de vulnerabilidades explotadas conocidas.
Fuente: BC