Η Cisco διόρθωσε μια νέα zero-day ευπάθεια στο λειτουργικό σύστημα NX-OS, η οποία έχει ήδη χρησιμοποιηθεί σε επιθέσεις για την εγκατάσταση malware (ως root) σε ευάλωτα switches.
Η εταιρεία κυβερνοασφάλειας Sygnia έχει συνδέσει τις επιθέσεις με τους Κινέζους hackers Velvet Ant.
“Η Sygnia εντόπισε αυτήν την εκμετάλλευση κατά τη διάρκεια μιας μεγαλύτερης έρευνας για την κινεζική ομάδα κυβερνοκατασκοπείας, που παρακολουθούμε ως Velvet Ant“, είπε ο Amnon Kushnir, Διευθυντής Αντιμετώπισης Συμβάντων στη Sygnia.
“Οι επιτιθέμενοι συγκέντρωσαν administrator-level credentials για να αποκτήσουν πρόσβαση σε Cisco Nexus switches και να αναπτύξουν ένα custom malware για να συνδεθούν εξ αποστάσεως σε παραβιασμένες συσκευές, να ανεβάσουν επιπλέον αρχεία και να εκτελέσουν κακόβουλο κώδικα“, είπε ο ειδικός.
Δείτε επίσης: Cisco: Διόρθωσε ευπάθειες Webex που χρησιμοποιήθηκαν για παρακολούθηση της γερμανικής κυβέρνησης
Η Cisco λέει ότι η zero-day ευπάθεια στο NX-OS (παρακολουθείται ως CVE-2024-20399) μπορεί να αξιοποιηθεί από τοπικούς εισβολείς με δικαιώματα διαχειριστή για την εκτέλεση εντολών με δικαιώματα root.
Οι συσκευές με το ευάλωτο NX-OS είναι οι εξής:
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches σε standalone NX-OS mode
Η zero-day ευπάθεια επιτρέπει, επίσης, στους εισβολείς να εκτελούν εντολές χωρίς να προκαλούν system syslog messages, επιτρέποντάς τους να κρύβουν σημάδια παραβίασης σε συσκευές που τρέχουν Cisco NX-OS.
Η Cisco συμβουλεύει τους πελάτες να παρακολουθούν και να αλλάζουν τακτικά τα credentials των network-admin και vdc-admin administrative users.
Δείτε επίσης: Cisco: Σοβαρή ευπάθεια στο Firepower Management Center
Οι διαχειριστές μπορούν να χρησιμοποιήσουν τη σελίδα του Cisco Software Checker για να προσδιορίσουν εάν οι συσκευές τους εκτίθενται σε επιθέσεις που στοχεύουν την ευπάθεια CVE-2024-20399.
Εάν οι χρήστες δεν εφαρμόσουν την ενημέρωση, οι επιπτώσεις μπορεί να είναι σοβαρές. Πρώτον, τα ευάλωτα switches θα παραμείνουν εκτεθειμένα σε επιθέσεις, δίνοντας στους επιτιθέμενους τη δυνατότητα να εγκαταστήσουν κακόβουλο λογισμικό. Αυτό σημαίνει ότι οι επιτιθέμενοι θα μπορούν ενδεχομένως να αποκτήσουν τον πλήρη έλεγχο του συστήματος, επιτρέποντάς τους να εκτελούν οποιαδήποτε εντολή, να τροποποιούν δεδομένα και να παρακολουθούν την κίνηση δικτύου χωρίς να γίνονται αντιληπτοί.
Δείτε επίσης: ArcaneDoor: Hackers χρησιμοποιούν Cisco zero-day για παραβίαση δικτύων
Επιπλέον, η παρουσία κακόβουλου λογισμικού μπορεί να οδηγήσει σε διαρροή ευαίσθητων πληροφοριών, όπως διαπιστευτήρια πρόσβασης, εμπορικά μυστικά και προσωπικά δεδομένα, τα οποία μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις ή να πωληθούν σε hacking forums.
Πηγή: www.bleepingcomputer.com
