Velvet Ant isimli Çin bağlantılı bir siber casusluk grubunun, Cisco NX-OS anahtarlarında kullanılan yazılımdaki sıfır günlük bir açığı kötü amaçlı yazılım dağıtmak için kullandığı gözlemlendi.
The savunmasızlıkCVE-2024-20399 (CVSS puanı: 6.0) olarak izlenen, kimliği doğrulanmış yerel bir saldırganın, etkilenen bir cihazın temel işletim sisteminde kök olarak keyfi komutlar yürütmesine olanak tanıyan bir komut enjeksiyonu vakasıyla ilgilidir.
Siber güvenlik firması Sygnia, “Bu güvenlik açığından yararlanarak Velvet Ant, tehdit grubunun tehlikeye atılmış Cisco Nexus cihazlarına uzaktan bağlanmasına, ek dosyalar yüklemesine ve cihazlarda kod yürütmesine olanak tanıyan daha önce bilinmeyen özel bir kötü amaçlı yazılımı başarıyla yürüttü” dedi. söz konusu The Hacker News ile paylaşılan açıklamada.
Cisco, sorunun belirli yapılandırma CLI komutlarına iletilen argümanların yetersiz doğrulanmasından kaynaklandığını ve saldırganların etkilenen yapılandırma CLI komutunun argümanı olarak hazırlanmış girdiyi dahil ederek bu argümanı istismar edebileceğini belirtti.
Dahası, yönetici ayrıcalıklarına sahip bir kullanıcının sistem syslog mesajlarını tetiklemeden komutları yürütmesini sağlar, böylece saldırıya uğramış cihazlarda kabuk komutlarının yürütülmesini gizlemek mümkün olur.
Kusurun kod yürütme yeteneklerine rağmen, daha düşük ciddiyet, başarılı bir istismarın bir saldırganın halihazırda yönetici kimlik bilgilerine sahip olmasını ve belirli yapılandırma komutlarına erişimini gerektirmesinden kaynaklanmaktadır. Aşağıdaki cihazlar CVE-2024-20399’dan etkilenmiştir –
- MDS 9000 Serisi Çok Katmanlı Anahtarlar
- Nexus 3000 Serisi Anahtarlar
- Nexus 5500 Platform Anahtarları
- Nexus 5600 Platform Anahtarları
- Nexus 6000 Serisi Anahtarlar
- Nexus 7000 Serisi Anahtarlar ve
- Bağımsız NX-OS modunda Nexus 9000 Serisi Anahtarlar
Sygnia, geçen yıl gerçekleşen daha kapsamlı bir adli soruşturma sırasında CVE-2024-20399’un vahşi doğada istismar edildiğini keşfettiğini söyledi. Ancak Cisco, Nisan 2024’te güvenlik açığının istismar edilmeye çalışıldığının farkına vardığını belirtti.
Velvet Ant, ilk olarak İsrailli siber güvenlik firması tarafından geçen ay, Doğu Asya’da bulunan ismi açıklanmayan bir kuruluşu hedef alan ve yaklaşık üç yıl boyunca eski F5 BIG-IP cihazları kullanarak gizlice müşteri ve finansal bilgilerini çalmayı amaçlayan bir siber saldırıyla bağlantılı olarak belgelenmişti.
“Ağ aygıtları, özellikle anahtarlar, genellikle izlenmiyor ve günlükleri sıklıkla merkezi bir günlük sistemine iletilmiyor,” dedi Sygnia. “Bu izleme eksikliği, kötü amaçlı etkinlikleri belirleme ve araştırmada önemli zorluklar yaratıyor.”
Gelişme, tehdit aktörlerinin bir kritik güvenlik açığı D-Link DIR-859 Wi-Fi yönlendiricilerini etkileyen (CVE-2024-0769CVSS puanı: 9.8) – tüm kullanıcıların adları, parolaları, grupları ve açıklamaları gibi hesap bilgilerini toplamak için bilgi ifşasına yol açan bir yol geçiş sorunu.
“Saldırının varyasyonları […] GreyNoise tehdit istihbarat firması, “cihazdan hesap ayrıntılarının çıkarılmasını etkinleştirin” dedi söz konusu“Ürünün Ömrü Sonlandı, bu nedenle yama uygulanmayacak ve uzun vadeli istismar riskleri oluşturacak. Bu güvenlik açığı kullanılarak birden fazla XML dosyası çağrılabilir.”