Un groupe de cyberespionnage lié à la Chine, appelé Velvet Ant, a été observé en train d’exploiter une faille zero-day dans le logiciel Cisco NX-OS utilisé dans ses commutateurs pour diffuser des logiciels malveillants.
Le vulnérabilitésuivi comme CVE-2024-20399 (score CVSS : 6,0), concerne un cas d’injection de commande qui permet à un attaquant local authentifié d’exécuter des commandes arbitraires en tant que root sur le système d’exploitation sous-jacent d’un appareil affecté.
« En exploitant cette vulnérabilité, Velvet Ant a exécuté avec succès un malware personnalisé jusqu’alors inconnu qui a permis au groupe de menaces de se connecter à distance aux appareils Cisco Nexus compromis, de télécharger des fichiers supplémentaires et d’exécuter du code sur les appareils », a déclaré la société de cybersécurité Sygnia. dit dans une déclaration partagée avec The Hacker News.
Cisco a déclaré que le problème provient d’une validation insuffisante des arguments transmis à des commandes CLI de configuration spécifiques, ce qui pourrait être exploité par un adversaire en incluant une entrée conçue spécialement comme argument d’une commande CLI de configuration affectée.
De plus, il permet à un utilisateur disposant de privilèges d’administrateur d’exécuter des commandes sans déclencher de messages syslog système, ce qui permet de dissimuler l’exécution de commandes shell sur des appareils piratés.
Malgré les capacités d’exécution de code de la faille, la gravité moindre est due au fait que pour réussir à l’exploiter, un attaquant doit déjà être en possession des informations d’identification d’administrateur et avoir accès à des commandes de configuration spécifiques. Les appareils suivants sont concernés par CVE-2024-20399 :
- Commutateurs multicouches de la série MDS 9000
- Commutateurs Nexus série 3000
- Commutateurs de la plate-forme Nexus 5500
- Commutateurs de la plate-forme Nexus 5600
- Commutateurs Nexus série 6000
- Commutateurs Nexus série 7000 et
- Commutateurs Nexus série 9000 en mode NX-OS autonome
Velvet Ant a été documenté pour la première fois par la société de cybersécurité israélienne le mois dernier dans le cadre d’une cyberattaque ciblant une organisation anonyme située en Asie de l’Est pendant une période d’environ trois ans en établissant une persistance à l’aide d’appareils F5 BIG-IP obsolètes afin de voler furtivement des informations clients et financières.
« Les appareils réseau, en particulier les commutateurs, ne sont souvent pas surveillés et leurs journaux ne sont pas transmis à un système de journalisation centralisé », a déclaré Sygnia. « Ce manque de surveillance crée des défis importants pour identifier et enquêter sur les activités malveillantes. »
Cette évolution intervient alors que les acteurs de la menace exploitent une vulnérabilité critique affectant les routeurs Wi-Fi D-Link DIR-859 (CVE-2024-0769Score CVSS : 9,8) – un problème de parcours de chemin conduisant à la divulgation d’informations – pour collecter des informations de compte telles que les noms, les mots de passe, les groupes et les descriptions de tous les utilisateurs.
« Les variantes de l’exploit […] permettre l’extraction des détails du compte à partir de l’appareil », a déclaré la société de renseignement sur les menaces GreyNoise dit« Le produit est en fin de vie, il ne sera donc pas corrigé, ce qui pose des risques d’exploitation à long terme. Plusieurs fichiers XML peuvent être invoqués à l’aide de la vulnérabilité. »