Se ha observado que un grupo de ciberespionaje con v\u00ednculos con China llamado Velvet Ant explota una falla de d\u00eda cero en el software Cisco NX-OS utilizado en sus conmutadores para distribuir malware.<\/p>\n
El vulnerabilidad<\/a>identificado como CVE-2024-20399 (puntuaci\u00f3n CVSS: 6.0), se refiere a un caso de inyecci\u00f3n de comandos que permite a un atacante local autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado.<\/p>\n “Al explotar esta vulnerabilidad, Velvet Ant ejecut\u00f3 con \u00e9xito un malware personalizado previamente desconocido que permiti\u00f3 al grupo de amenazas conectarse de forma remota a dispositivos Cisco Nexus comprometidos, cargar archivos adicionales y ejecutar c\u00f3digo en los dispositivos”, dijo la firma de ciberseguridad Sygnia dicho<\/a> en una declaraci\u00f3n compartida con The Hacker News.<\/p>\n Cisco dijo que el problema se debe a una validaci\u00f3n insuficiente de los argumentos que se pasan a comandos CLI de configuraci\u00f3n espec\u00edficos, lo que podr\u00eda ser aprovechado por un adversario al incluir una entrada dise\u00f1ada como argumento de un comando CLI de configuraci\u00f3n afectado.<\/p>\n Adem\u00e1s, permite a un usuario con privilegios de administrador ejecutar comandos sin activar mensajes de syslog del sistema, lo que hace posible ocultar la ejecuci\u00f3n de comandos de shell en dispositivos pirateados.<\/p>\n A pesar de las capacidades de ejecuci\u00f3n de c\u00f3digo de la falla, la menor gravedad se debe al hecho de que para explotarla con \u00e9xito es necesario que el atacante ya est\u00e9 en posesi\u00f3n de credenciales de administrador y tenga acceso a comandos de configuraci\u00f3n espec\u00edficos. Los siguientes dispositivos se ven afectados por CVE-2024-20399:<\/p>\n Velvet Ant fue documentado por primera vez por la empresa de ciberseguridad israel\u00ed el mes pasado en relaci\u00f3n con un ciberataque dirigido a una organizaci\u00f3n an\u00f3nima ubicada en el este de Asia durante un per\u00edodo de aproximadamente tres a\u00f1os mediante el establecimiento de persistencia utilizando dispositivos F5 BIG-IP obsoletos para robar sigilosamente informaci\u00f3n financiera y de clientes.<\/p>\n “Los dispositivos de red, en particular los conmutadores, no suelen estar controlados y sus registros no suelen enviarse a un sistema de registro centralizado”, afirm\u00f3 Sygnia. “Esta falta de control crea importantes desaf\u00edos a la hora de identificar e investigar actividades maliciosas”.<\/p>\n El desarrollo se produce en un momento en que los actores de amenazas est\u00e1n explotando una vulnerabilidad cr\u00edtica<\/a> que afecta a los enrutadores Wi-Fi D-Link DIR-859 (CVE-2024-0769<\/a>Puntuaci\u00f3n CVSS: 9,8) \u2013 un problema de recorrido de ruta que conduce a la divulgaci\u00f3n de informaci\u00f3n \u2013 para recopilar informaci\u00f3n de la cuenta, como nombres, contrase\u00f1as, grupos y descripciones de todos los usuarios.<\/p>\n “Las variaciones del exploit […] permitir la extracci\u00f3n de detalles de la cuenta del dispositivo”, dijo la firma de inteligencia de amenazas GreyNoise dicho<\/a>“El producto ya no est\u00e1 en uso, por lo que no se aplicar\u00e1n parches, lo que plantea riesgos de explotaci\u00f3n a largo plazo. Se pueden invocar varios archivos XML utilizando la vulnerabilidad”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Hackers-chinos-aprovechan-el-dia-cero-de-los-switches-Cisco.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/section>\n