Se ha observado que un grupo de ciberespionaje con vínculos con China llamado Velvet Ant explota una falla de día cero en el software Cisco NX-OS utilizado en sus conmutadores para distribuir malware.
El vulnerabilidadidentificado como CVE-2024-20399 (puntuación CVSS: 6.0), se refiere a un caso de inyección de comandos que permite a un atacante local autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado.
«Al explotar esta vulnerabilidad, Velvet Ant ejecutó con éxito un malware personalizado previamente desconocido que permitió al grupo de amenazas conectarse de forma remota a dispositivos Cisco Nexus comprometidos, cargar archivos adicionales y ejecutar código en los dispositivos», dijo la firma de ciberseguridad Sygnia dicho en una declaración compartida con The Hacker News.
Cisco dijo que el problema se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos, lo que podría ser aprovechado por un adversario al incluir una entrada diseñada como argumento de un comando CLI de configuración afectado.
Además, permite a un usuario con privilegios de administrador ejecutar comandos sin activar mensajes de syslog del sistema, lo que hace posible ocultar la ejecución de comandos de shell en dispositivos pirateados.
A pesar de las capacidades de ejecución de código de la falla, la menor gravedad se debe al hecho de que para explotarla con éxito es necesario que el atacante ya esté en posesión de credenciales de administrador y tenga acceso a comandos de configuración específicos. Los siguientes dispositivos se ven afectados por CVE-2024-20399:
- Conmutadores multicapa de la serie MDS 9000
- Conmutadores Nexus serie 3000
- Conmutadores de plataforma Nexus 5500
- Conmutadores de plataforma Nexus 5600
- Conmutadores Nexus serie 6000
- Conmutadores Nexus serie 7000 y
- Conmutadores Nexus serie 9000 en modo NX-OS independiente
Velvet Ant fue documentado por primera vez por la empresa de ciberseguridad israelí el mes pasado en relación con un ciberataque dirigido a una organización anónima ubicada en el este de Asia durante un período de aproximadamente tres años mediante el establecimiento de persistencia utilizando dispositivos F5 BIG-IP obsoletos para robar sigilosamente información financiera y de clientes.
«Los dispositivos de red, en particular los conmutadores, no suelen estar controlados y sus registros no suelen enviarse a un sistema de registro centralizado», afirmó Sygnia. «Esta falta de control crea importantes desafíos a la hora de identificar e investigar actividades maliciosas».
El desarrollo se produce en un momento en que los actores de amenazas están explotando una vulnerabilidad crítica que afecta a los enrutadores Wi-Fi D-Link DIR-859 (CVE-2024-0769Puntuación CVSS: 9,8) – un problema de recorrido de ruta que conduce a la divulgación de información – para recopilar información de la cuenta, como nombres, contraseñas, grupos y descripciones de todos los usuarios.
«Las variaciones del exploit […] permitir la extracción de detalles de la cuenta del dispositivo», dijo la firma de inteligencia de amenazas GreyNoise dicho«El producto ya no está en uso, por lo que no se aplicarán parches, lo que plantea riesgos de explotación a largo plazo. Se pueden invocar varios archivos XML utilizando la vulnerabilidad».