Čínští hackeři zneužívají zeroday zranitelnost na switchích Cisco k šíření škodlivého softwaru

Kyberšpionážní skupina z Číny s názvem Velvet Ant zneužívá zeroday chybu v softwaru NX-OS společnosti Cisco k šíření malwaru.

Zranitelnost, sledovaná jako CVE-2024-20399 (skóre CVSS: 6,0), se týká  command injection, který umožňuje autentizovanému lokálnímu útočníkovi spustit libovolné příkazy jako root.

"Využitím této zranitelnosti Velvet Ant úspěšně spustil dosud neznámý malware, který skupině umožnil vzdáleně se připojit k napadeným zařízením Cisco Nexus, nahrát další soubory a spustit další škodlivý kód," uvedla firma Sygnia

Společnost Cisco uvedla, že problém vyplývá z nedostatečné validace argumentů, které jsou předávány konkrétním konfiguračním příkazům CLI, čehož může protivník zneužít tím, že jako argument napadeného konfiguračního příkazu CLI uvede upravený vstup.

Navíc umožňuje uživateli s právy správce spouštět příkazy bez vyvolání systémových zpráv syslogu, čímž umožňuje skrýt spuštění příkazů shellu na hacknutých zařízeních.

Navzdory možnostem spuštění kódu je závažnost chyby nižší, protože úspěšné zneužití vyžaduje, aby útočník již vlastnil pověření správce a měl přístup ke specifickým konfiguračním příkazům. 

Chyba CVE-2024-20399 se týká následujících zařízení.

- switche řady MDS 9000
- switche řady Nexus 3000
- switche platformy Nexus 5500
- switche platformy Nexus 5600
- switche řady Nexus 6000
- switche řady Nexus 7000 a
- switche řady Nexus 9000 v samostatném režimu NX-OS.

Velvet Ant byl poprvé zdokumentován izraelskou firmou zabývající se kybernetickou bezpečností minulý měsíc v souvislosti s kybernetickým útokem zaměřeným na nejmenovanou organizaci se sídlem ve východní Asii po dobu přibližně tří let, a to vytvořením perzistence pomocí zastaralých zařízení F5 BIG-IP s cílem skrytě ukrást zákaznické a finanční informace.

"Síťová zařízení, zejména switche, často nejsou monitorována a jejich protokoly často nejsou předávány do centralizovaného systému pro logování," uvedla společnost Sygnia.