Grupa za cyber špijunažu u Kini pod nazivom Velvet Ant je primijećena kako iskorištava zero-day u softveru Cisco NX-OS koji se koristi u njegovim prekidačima za isporuku zlonamjernog softvera.
Ranjivost , praćena kao CVE-2024-20399 (CVSS rezultat: 6.0), odnosi se na slučaj ubrizgavanja komande koja omogućava autentifikovanom, lokalnom napadaču da izvrši proizvoljne komande kao root na osnovnom operativnom sistemu pogođenog uređaja .
Cisco je rekao da problem proizilazi iz nedovoljne validacije argumenata koji se prosleđuju specifičnim konfiguracionim CLI komandama, koje bi protivnik mogao iskoristiti uključivanjem kreiranog unosa kao argumenta zahvaćene konfiguracione CLI komande.
Štaviše, omogućava korisniku sa administratorskim privilegijama da izvršava komande bez pokretanja sistemskih syslog poruka, čime je omogućeno da se prikrije izvršavanje shell komandi na hakovanim uređajima.
Uprkos mogućnostima izvršavanja koda greške, manja ozbiljnost je zbog činjenice da uspješna eksploatacija zahtijeva da napadač već posjeduje administratorske krendencijale i da ima pristup određenim konfiguracijskim komandama. CVE-2024-20399 utiče na sljedeće uređaje:
- Višeslojni prekidači serije MDS 9000
- Prekidači serije Nexus 3000
- Prekidači platforme za Nexus 5500
- Prekidači platforme za Nexus 5600
- Prekidači serije Nexus 6000
- Prekidači serije Nexus 7000
- Prekidači serije Nexus 9000 u samostalnom NX-OS načinu rada
Velvet Ant je prvi put dokumentovao izraelska kompanija za cyber sigurnost prošlog mjeseca u vezi sa cyber napadom usmjerenim na neimenovanu organizaciju koja se nalazi u istočnoj Aziji u periodu od oko tri godine uspostavljanjem upornosti korištenjem zastarjelih F5 BIG-IP uređaja u cilju krađe kupaca i finansijske informacije.
“Mrežni uređaji, posebno prekidači, često se ne nadgledaju, a njihovi zapisi se često ne prosljeđuju centraliziranom sistemu za evidentiranje”, rekao je Sygnia. „Ovaj nedostatak praćenja stvara značajne izazove u identifikaciji i istrazi zlonamjernih aktivnosti.“
Razvoj dolazi kada hakeri iskorištavaju kritičnu ranjivost koja utiče na D-Link DIR-859 Wi-Fi rutere ( CVE-2024-0769 , CVSS rezultat: 9,8) – problem prelaska puta koji vodi do otkrivanja informacija – da bi prikupili informacije o nalogu kao što su imena, lozinke, grupe i opisi za sve korisnike.
“Varijacije eksploatacije […] omogućavaju ekstrakciju detalja računa iz uređaja”, rekla je firma GreyNoise za obavještavanje o prijetnjama . “Proizvod je na kraju životnog vijeka, tako da neće biti zakrpljen, što predstavlja dugoročne rizike eksploatacije. Više XML datoteka može se pozvati pomoću ranjivosti.”
Izvor:The Hacker News