Компания Cisco исправляет уязвимость нулевого дня в NX-OS, связанную с внедрением команд. Еще в апреле этот баг эксплуатировала связанная с Китаем кибершпионская хак-группа Velvet Ant, устанавливая на уязвимые коммутаторы малварь с правами root.
Уязвимость получила идентификатор CVE-2024-20399 (6.0 баллов по шкале CVSS) и затрагивает интерфейс командной строки NX-OS, позволяя локальному злоумышленнику выполнять произвольные команды с root-правами.
«Эта уязвимость связана с некорректной валидацией аргументов, передаваемых определенным конфигурационным командам CLI. Злоумышленник может использовать уязвимость, применив модифицированные данные в качестве аргумента для уязвимой CLI-команды», — сообщают в Cisco.
Подчеркивается, что для успешной эксплуатации этого бага злоумышленнику придется сначала пройти аутентификацию в качестве администратора на уязвимом устройстве.
CVE-2024-20399 затрагивает коммутаторы Cisco серий MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000. В настоящее время для всех устройств уже доступны обновленные версии прошивки.
Также в отчете компании отмечается, что Cisco известно об эксплуатации этой проблемы в апреле 2024 года.
Исходно уязвимость и связанные с ней атаки обнаружили специалисты ИБ-компании Sygnia, которая отмечают, что эта активность была связана с кибершпионажем и китайской хак-группой Velvet Ant.
Напомним, что в прошлом месяце исследователи Sygnia предупреждали, что Velvet Ant на протяжении многих лет устанавливала на устройства F5 BIG-IP кастомную малварь, чтобы получить постоянный доступ к внутренней сети целевой компании и похищать данные.
Как стало известно теперь, хак-группа использовала ошибку в Cisco NX-OS для запуска ранее неизвестной малвари на уязвимых устройствах, удаленного подключения к ним, загрузки дополнительных файлов и выполнения кода.
«Учитывая, что большинство коммутаторов Nexus не имеют прямого выхода в интернет, для использования этой уязвимости хакеры сначала должны получить доступ к внутренней сети организации. Следовательно, общий риск для организаций снижается из-за трудностей, связанных с получением необходимого доступа», — пишут исследователи Sygnia.
Однако в компании также отметили, что, несмотря на трудности в эксплуатации таких уязвимостей, как CVE-2024-20399, группировки подобные Velvet Ant обычно используют плохо защищенные сетевые устройства для обеспечения себе постоянного доступа к корпоративным средам.
