Han surgido detalles sobre la explotación por parte de un grupo de amenazas con vínculos con China de una falla de seguridad recientemente revelada y ahora parcheada en los conmutadores Cisco como un día cero para tomar el control del dispositivo y evadir la detección.
La actividad, atribuida a Velvet Ant, se observó a principios de este año e involucró el uso de CVE-2024-20399 (puntaje CVSS: 6.0) como arma para distribuir malware a medida y obtener un amplio control sobre el sistema comprometido, facilitando tanto la exfiltración de datos como el acceso persistente.
“El exploit de día cero permite a un atacante con credenciales de administrador válidas para la consola de administración de Switch escapar de la interfaz de línea de comandos (CLI) de NX-OS y ejecutar comandos arbitrarios en el sistema operativo Linux subyacente”, dijo la empresa de ciberseguridad Sygnia en un comunicado. informe compartido con The Hacker News.
Velvet Ant llamó por primera vez la atención de los investigadores de la empresa de ciberseguridad israelí en relación con una campaña de varios años dirigida a una organización anónima ubicada en el este de Asia aprovechando los antiguos dispositivos F5 BIG-IP como punto de vista para configurar la persistencia en el entorno comprometido.
La explotación sigilosa de CVE-2024-20399 por parte del actor de amenazas salió a la luz a principios del mes pasado, lo que llevó a Cisco a emitir actualizaciones de seguridad para liberar la falla.
Entre las técnicas comerciales se destaca el nivel de sofisticación y las tácticas de cambio de forma adoptadas por el grupo, infiltrándose inicialmente en nuevos sistemas Windows antes de trasladarse a servidores y dispositivos de red Windows más antiguos en un intento de pasar desapercibidos.
“El paso a operar desde dispositivos de red interna marca otra escalada en las técnicas de evasión utilizadas para asegurar la continuación de la campaña de espionaje”, dijo Sygnia.
La última cadena de ataque implica ingresar a un dispositivo de conmutación Cisco utilizando CVE-2024-20399 y realizar actividades de reconocimiento, para luego pasar a más dispositivos de red y, finalmente, ejecutar un binario de puerta trasera mediante un script malicioso.
El payload, denominado VELVETSHELL, es una amalgama de dos herramientas de código abierto, una puerta trasera Unix llamada Tiny SHell y una utilidad proxy llamada 3proxy. También admite capacidades para ejecutar comandos arbitrarios, descargar/subir archivos y establecer túneles para el tráfico de red mediante proxy.
“El modus operandi de Velvet Ant pone de relieve los riesgos y las dudas que existen en relación con los dispositivos y aplicaciones de terceros que las organizaciones incorporan”, afirmó la empresa. “Debido a la naturaleza de ‘caja negra’ de muchos dispositivos, cada pieza de hardware o software tiene el potencial de convertirse en una superficie de ataque que un adversario puede explotar”.