Cisco ha parcheado una vulnerabilidad Zero-Day de NX-OS
explotado en abril para instalar malware previamente desconocido como raíz en
switches vulnerables.
La empresa de ciberseguridad Sygnia, que informó de los incidentes a Cisco, vinculó los ataques con un actor de amenazas patrocinado por el estado
chino al que rastrea como Velvet Ant.
«Sygnia detectó esta explotación durante una investigación forense más
amplia sobre el grupo de ciberespionaje del nexo con China que estamos
rastreando como Velvet Ant», dijo Amnon Kushnir, director de respuesta a incidentes de Sygnia.
«Los actores de amenazas reunieron credenciales de nivel de administrador
para obtener acceso a los switches Cisco Nexus e implementar un malware
personalizado previamente desconocido que les permitió conectarse de forma
remota a dispositivos comprometidos, cargar archivos adicionales y ejecutar
código malicioso».
Cisco dice que la vulnerabilidad identificada como CVE-2024-20399 puede ser
explotada por atacantes locales con privilegios de administrador para ejecutar
comandos arbitrarios con permisos de root en los sistemas operativos
subyacentes de los dispositivos vulnerables.
«Esta vulnerabilidad se debe a una validación insuficiente de los
argumentos que se pasan a comandos CLI de configuración específicos. Un
atacante podría explotar esta vulnerabilidad incluyendo entradas manipuladas
como argumento de un comando CLI de configuración afectado»,
explica Cisco.
«Un exploit exitoso podría permitir al atacante ejecutar comandos
arbitrarios en el sistema operativo subyacente con privilegios de root».
La lista de dispositivos afectados incluye varios switches que ejecutan
software NX-OS vulnerable:
- MDS 9000 Series Multilayer Switches (CSCwj97007)
- Nexus 3000 Series Switches (CSCwj97009)1
- Nexus 5500 Platform Switches (CSCwj97011)
- Nexus 5600 Platform Switches (CSCwj97011)
- Nexus 6000 Series Switches (CSCwj97011)
- Nexus 7000 Series Switches (CSCwj94682)2
- Nexus 9000 Series Switches in standalone NX-OS mode (CSCwj97009)
La falla de seguridad también permite a los atacantes ejecutar comandos sin
activar mensajes de syslog del sistema, lo que les permite ocultar
signos de compromiso en los dispositivos NX-OS atacados.
Cisco recomienda a los clientes que supervisen y cambien periódicamente las
credenciales de los usuarios administrativos de vdc-admin.
Los administradores pueden utilizar la página
Cisco Software Checker
para determinar si los dispositivos de su red están expuestos a ataques
dirigidos a la vulnerabilidad CVE-2024-20399.
En abril, Cisco también advirtió que un grupo de hackers respaldado por el
estado (seguido como UAT4356 y STORM-1849) había estado explotando múltiples
errores Zero-Day (CVE-2024-20353 y CVE-2024-20359) en Adaptive Security
Appliance (ASA) y firewalls Firepower Threat Defense (FTD) desde noviembre de
2023 en una
campaña denominada ArcaneDoor
dirigida a redes gubernamentales en todo el mundo.
En ese momento, la compañía agregó que también encontró evidencia de que los
delincuentes informáticos habían probado y desarrollado exploits para
atacar las fallas de día cero desde al menos julio de 2023. Explotaron las
vulnerabilidades para instalar malware previamente desconocido que les
permitió mantener la persistencia en dispositivos ASA y FTD comprometidos. Sin
embargo, Cisco dijo que aún tenía que identificar el vector de ataque inicial
utilizado por los atacantes para violar las redes de las víctimas.
El mes pasado,
Sygnia dijo que Velvet Ant apuntó a dispositivos F5 BIG-IP
con malware personalizado en una campaña de ciberespionaje. En esta campaña,
utilizaron el acceso persistente a las redes de sus víctimas para robar
sigilosamente información confidencial y financiera de clientes durante tres
años mientras evitaban ser detectados.
CISA ya agregó CVE-2024-20399 a su catálogo de vulnerabilidades explotadas conocidas.
Fuente:
BC