Após lançar uma correção para o problema, a Cisco alerta sobre exploração zero-day do NX-OS para implantação de malware personalizado.
O NX-OS é um sistema operacional de rede para switches Ethernet da série Nexus e switches de rede de área de armazenamento Fibre Channel da série MDS fabricados pela Cisco Systems.
Ele evoluiu do sistema operacional Cisco SAN-OS, originalmente desenvolvido para seus switches MDS.
Agora, a Cisco corrigiu um ataque zero-day do NX-OS explorado em abril para instalar malware anteriormente desconhecido como root em switches vulneráveis.
Cisco alerta sobre exploração zero-day do NX-OS
A empresa de segurança cibernética Sygnia, que relatou os incidentes à Cisco, vinculou os ataques a um agente de ameaças patrocinado pelo Estado chinês que ela rastreia como Velvet Ant.
“A Sygnia detectou esta exploração durante uma investigação forense mais ampla sobre o grupo de ciberespionagem do nexo da China que estamos rastreando como Velvet Ant”, disse Amnon Kushnir, Diretor de Resposta a Incidentes da Sygnia, ao BleepingComputer.
“Os agentes da ameaça reuniram credenciais de administrador para obter acesso aos switches Cisco Nexus e implantar um malware personalizado até então desconhecido que lhes permitiu conectar-se remotamente a dispositivos comprometidos, fazer upload de arquivos adicionais e executar código malicioso.”
A Cisco afirma que a vulnerabilidade (rastreada como CVE-2024-20399) pode ser explorada por invasores locais com privilégios de administrador para executar comandos arbitrários com permissões de root nos sistemas operacionais subjacentes dos dispositivos vulneráveis.
“Essa vulnerabilidade se deve à validação insuficiente de argumentos que são passados para comandos CLI de configuração específicos. Um invasor pode explorar essa vulnerabilidade incluindo entradas criadas como argumento de um comando CLI de configuração afetado”, explica a Cisco.
“Uma exploração bem-sucedida pode permitir que o invasor execute comandos arbitrários no sistema operacional subjacente com privilégios de root.”
A lista de dispositivos afetados inclui vários switches que executam software NX-OS vulnerável:
- Switches multicamadas série MDS 9000
- Comutadores Nexus Série 3000
- Switches de plataforma Nexus 5500
- Switches de plataforma Nexus 5600
- Switches Nexus Série 6000
- Comutadores Nexus Série 7000
- Switches Nexus série 9000 em modo NX-OS independente
A falha de segurança também permite que invasores executem comandos sem acionar mensagens syslog do sistema, permitindo-lhes ocultar sinais de comprometimento em dispositivos NX-OS hackeados.
A Cisco aconselha os clientes a monitorar e alterar regularmente as credenciais dos usuários administrativos network-admin e vdc-admin.
Os administradores podem usar a página Cisco Software Checker para determinar se os dispositivos em sua rede estão expostos a ataques direcionados à vulnerabilidade CVE-2024-20399.
Em abril, a Cisco também alertou que um grupo de hackers apoiado pelo estado (rastreado como UAT4356 e STORM-1849) estava explorando vários bugs zero-day (CVE-2024-20353 e CVE-2024-20359) no Adaptive Security Appliance (ASA) e firewalls Firepower Threat Defense (FTD) desde novembro de 2023 em uma campanha chamada ArcaneDoor visando redes governamentais em todo o mundo.
Na época, a empresa acrescentou que também encontrou evidências de que os hackers testaram e desenvolveram explorações para atingir as falhas zero-day desde pelo menos julho de 2023.
Eles exploraram as vulnerabilidades para instalar malware anteriormente desconhecido que lhes permitiu manter a persistência em dispositivos ASA e FTD comprometidos.
No entanto, a Cisco disse que ainda não identificou o vetor de ataque inicial usado pelos invasores para violar as redes das vítimas.
No mês passado, Sygnia disse que o Velvet Ant atacou dispositivos F5 BIG-IP com malware personalizado em uma campanha de espionagem cibernética.
Nesta campanha, eles usaram o acesso persistente às redes das suas vítimas para roubar furtivamente informações financeiras e de clientes confidenciais durante três anos, evitando a detecção.