Cisco ha parchado un ataque de día cero de NX-OS explotado en abril para instalar malware previamente desconocido como raíz en conmutadores vulnerables.
La empresa de ciberseguridad Sygnia, que informó de los incidentes a Cisco, vinculó los ataques con un actor de amenazas patrocinado por el estado chino al que rastrea como Velvet Ant.
«Sygnia detectó esta explotación durante una investigación forense más amplia sobre el grupo de ciberespionaje del nexo con China que estamos rastreando como Velvet Ant«, dijo a BleepingComputer Amnon Kushnir, director de respuesta a incidentes de Sygnia.
«Los actores de amenazas reunieron credenciales de nivel de administrador para obtener acceso a los conmutadores Cisco Nexus e implementar un malware personalizado previamente desconocido que les permitió conectarse de forma remota a dispositivos comprometidos, cargar archivos adicionales y ejecutar código malicioso«.
Cisco dice que la vulnerabilidad (rastreada como CVE-2024-20399) puede ser explotada por atacantes locales con privilegios de administrador para ejecutar comandos arbitrarios con permisos de root en los sistemas operativos subyacentes de los dispositivos vulnerables.
«Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos. Un atacante podría explotar esta vulnerabilidad incluyendo entradas manipuladas como argumento de un comando CLI de configuración afectado«, explica Cisco.
«Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root«.
La lista de dispositivos afectados incluye varios conmutadores que ejecutan software NX-OS vulnerable:
Conmutadores multicapa serie MDS 9000
- Conmutadores Nexus serie 3000
- Conmutadores de plataforma Nexus 5500
- Conmutadores de plataforma Nexus 5600
- Conmutadores Nexus serie 6000
- Conmutadores Nexus serie 7000
- Switches Nexus serie 9000 en modo NX-OS independiente
La falla de seguridad también permite a los atacantes ejecutar comandos sin activar mensajes de syslog del sistema, lo que les permite ocultar signos de compromiso en los dispositivos NX-OS pirateados.
Cisco recomienda a los clientes que supervisen y cambien periódicamente las credenciales de los usuarios administrativos de administrador de red y administrador de vdc.
Los administradores pueden utilizar la página Cisco Software Checker para determinar si los dispositivos de su red están expuestos a ataques dirigidos a la vulnerabilidad CVE-2024-20399.
En abril, Cisco también advirtió que un grupo de hackers respaldado por el estado (seguido como UAT4356 y STORM-1849) había estado explotando múltiples errores de día cero (CVE-2024-20353 y CVE-2024-20359) en Adaptive Security Appliance (ASA). y firewalls Firepower Threat Defense (FTD) desde noviembre de 2023 en una campaña denominada ArcaneDoor dirigida a redes gubernamentales en todo el mundo.
En ese momento, la compañía agregó que también encontró evidencia de que los piratas informáticos habían probado y desarrollado exploits para atacar las fallas de día cero desde al menos julio de 2023.
Explotaron las vulnerabilidades para instalar malware previamente desconocido que les permitió mantener la persistencia en dispositivos ASA y FTD comprometidos. Sin embargo, Cisco dijo que aún tenía que identificar el vector de ataque inicial utilizado por los atacantes para violar las redes de las víctimas.
El mes pasado, Sygnia dijo que Velvet Ant apuntó a dispositivos F5 BIG-IP con malware personalizado en una campaña de ciberespionaje. En esta campaña, utilizaron el acceso persistente a las redes de sus víctimas para robar sigilosamente información confidencial y financiera de clientes durante tres años mientras evitaban ser detectados.
Fuente y redacción: underc0de.org
