Cisco a lansat patch-uri pentru mai multe serii de switch-uri Nexus pentru a remedia o vulnerabilitate care ar putea permite atacatorilor să ascundă execuția comenzilor bash pe sistemul de operare. Deși defectul este evaluat cu severitate moderată deoarece necesită permisiuni administrative pentru a fi exploatat, acesta a fost exploatat din aprilie, demonstrând că atacatorii nu vizează doar vulnerabilitățile critice sau de risc ridicat.
TLDR
Cisco a lansat patch-uri pentru o vulnerabilitate moderată în switch-urile Nexus, exploatată de un grup APT chinez. Vulnerabilitatea permite ascunderea execuției comenzilor bash cu acreditări administrative. Se recomandă instalarea patch-urilor și rotirea periodică a acreditărilor de administrator.
Detalii Vulnerabilitate
Cisco a identificat vulnerabilitatea urmărită sub codul CVE-2024-20399, cauzată de validarea insuficientă a argumentelor transmise cu comenzile de configurare la interfața de linie de comandă a software-ului NX-OS. Aceasta afectează mai multe serii de switch-uri Cisco: MDS 9000 Series Multilayer Switches, Nexus 3000 Series Switches, Nexus 5500 Platform Switches, Nexus 5600 Platform Switches, Nexus 6000 Series Switches, Nexus 7000 Series Switches și Nexus 9000 Series Switches în modul NX-OS standalone.
Cum a fost descoperita vulnerabilitatea
Vulnerabilitatea a fost detectată în natură de către cercetătorii de la firma de securitate Sygnia în timpul unei investigații a unui atac realizat de un grup APT chinez numit Velvet Ant. Raportul Sygnia, lansat în iunie, a subliniat că Velvet Ant a persistat în rețeaua unei mari organizații timp de peste trei ani, folosind un aparat F5 BIG-IP compromis pentru comenzi și control. Într-o actualizare din 1 iulie, compania a dezvăluit că Velvet Ant a exploatat și CVE-2024-20399 pentru a executa cod malițios și a stabili un punct de sprijin pe switch-urile Cisco Nexus.
Implicații și recomandări
Network appliances, în special switch-urile, nu sunt adesea monitorizate și jurnalele lor nu sunt frecvent trimise la un sistem centralizat de logare, ceea ce creează provocări semnificative în identificarea și investigarea activităților malițioase. Chiar și dacă jurnalele de pe switch-uri ar fi colectate și monitorizate, exploatarea acestei vulnerabilități nu ar genera intrări în jurnal, conform Cisco.
Aceasta vulnerabilitate permite unui utilizator cu privilegii administrative să execute comenzi pe sistemul de operare subiacent fără a activa funcția bash-shell și fără a declanșa mesaje syslog de sistem care să arate că utilizatorul a executat comanda run bash. Aceasta ar putea ajuta un utilizator cu privilegii de administrator să ascundă execuția comenzilor shell pe dispozitiv.
Deoarece atacul necesită privilegii administrative, pe lângă instalarea patch-urilor, Cisco recomandă monitorizarea și rotirea periodică a acreditărilor pentru conturile network-admin și vdc-admin.
Concluzie
Atacurile moderne, în special cele de spionaj cibernetic care doresc să rămână nedetectate pentru perioade lungi de timp, implică activități de mișcare laterală care colectează diverse acreditări de la mașinile și dispozitivele compromise. Scopul este de a stabili mai multe puncte de sprijin în întreaga rețea, astfel încât dacă un implant este detectat, atacatorii să nu piardă accesul complet la țintă. În timp ce inițial intrarea într-o rețea poate implica exploatarea defectelor critice sau de severitate ridicată în activele expuse la internet, mișcarea laterală și stealth-ul sunt adesea realizate prin exploatarea defectelor de severitate mai mică, cum ar fi cele de escaladare a privilegiilor sau, în acest caz NX-OS, injecția de comenzi autentificate.
Sursa articolului:
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
