Root-доступ за пару кликов: Velvet Ant взламывает оборудование Cisco

Cisco устранила уязвимость нулевого дня NX-OS, использованную для установки ранее неизвестного вредоносного ПО с root-правами на уязвимые коммутаторы Cisco Nexus.

ИБ-компания Sygnia первая сообщила о zero-day уязвимости в Cisco и связала атаки с китайскими правительственными хакерами Velvet Ant. Основной целью группы является шпионаж, и она фокусируется на установлении долгосрочного доступа к сети жертвы.

По данным Sygnia, злоумышленники собрали учетные данные администратора, чтобы получить доступ к коммутаторам Cisco Nexus и развернуть ранее неизвестное вредоносное ПО, которое позволило удаленно подключаться ко взломанным устройствам, загружать дополнительные файлы и выполнять вредоносный код. Хакеры Velvet Ant, вероятно, сначала взломали сеть организации, прежде чем воспользоваться уязвимостью.

Уязвимость CVE-2024-20399 (оценка CVSS: 6.0) вызвана недостаточной проверкой аргументов, которые передаются определенным CLI -командам конфигурации. Злоумышленник может воспользоваться уязвимостью, включив специально созданные входные данные в качестве аргумента уязвимой CLI-команды конфигурации. Эксплуатация ошибки позволяет злоумышленнику выполнять произвольные команды в базовой операционной системе с root-правами.

Эксплуатация ошибки позволяет злоумышленнику выполнять произвольные команды в базовой операционной системе с root-правами, не вызывая сообщений системного журнала, что дает возможность скрывать признаки компрометации взломанных устройств NX-OS.

Список затронутых устройств включает несколько коммутаторов, работающих под управлением уязвимого программного обеспечения NX-OS:

MDS 9000 Series Multilayer Switches;

Nexus 3000 Series Switches;

Nexus 5500 Platform Switches;

Nexus 5600 Platform Switches;

Nexus 6000 Series Switches;

Nexus 7000 Series Switches;

Nexus 9000 Series Switches в автономном режиме NX-OS.

Cisco рекомендует клиентам регулярно отслеживать и изменять учетные данные администраторов сети и vdc-admin. Администраторы могут использовать страницу Cisco Software Checker, чтобы определить, подвержены ли устройства в их сети атакам с использованием данной ошибки.

Velvet Ant была впервые задокументирована Sygnia в мае в связи с кибератакой на неназванную организацию в Восточной Азии, которая продолжалась около трех лет. Вредоносная программа использовала устаревшие устройства F5 BIG-IP для скрытой кражи клиентской и финансовой информации.