Cisco تحذر من ثغرة في NX-OS يتم استغلالها لنشر برمجيات ضارة
أصلحت Cisco ثغرة في NX-OS تم استغلالها في هجمات لتثبيت ملفات ضارة للحصول على صلاحيات مستخدم بمسؤوليات Root.
ربطت شركة الأمن السيبراني Sygnia، التي أبلغت شركة Cisco بالحادثة، الهجمات بمهاجم تهديد مدعوم من الدولة الصينية يُعرف باسم " Velvet Ant".
أفاد Amnon Kushnir، مدير استجابة الحوادث في Sygnia "اكتشفت شركة Sygnia هذا الاستغلال أثناء التحقيقات الجنائية الكبرى في مجموعة التجسس السيبراني الصينية التي نتعقبها باسم Velvet Ant' '".
"المهاجمون نجحوا في جمع بيانات اعتماد المسؤولين على مستوى المسؤول للوصول إلى Cisco Nexus switches ونشر برمجية ضارة، مما سمح لهم بالاتصال عن بُعد بالأجهزة المتعرضة، ورفع ملفات إضافية، وتنفيذ تعليمات برمجية ضارة."
أفادت Cisco أن الثغرة (التي تُتبع برقم CVE-2024-20399) يمكن استغلالها من قبل مهاجمين بامتيازات المسؤول لتنفيذ أوامر بأذونات root على أنظمة التشغيل الأساسية للأجهزة المصابة بالثغرة.
"يعود سبب هذه الثغرة إلى عدم كفاية التحقق من صحة البيانات التي تمر إلى أوامر CLI المحددة. يمكن للمهاجم استغلال هذه الثغرة من خلال تضمين إدخال مصمم كمعامل لأمر CLI المتأثر"،
الأجهزة المتأثرة تشمل عدة تبديلات تعمل ببرمجيات NX-OS الضعيفة الأمان:
MDS 9000 Series Multilayer Switches
Nexus 3000 Series Switches
Nexus 5500 Platform Switches
Nexus 5600 Platform Switches
Nexus 6000 Series Switches
Nexus 7000 Series Switches
Nexus 9000 Series Switches in standalone NX-OS mode
تُمكن الثغرة الأمنية أيضًا المهاجمين من تنفيذ أوامر دون إحداث رسائل syslog للنظام، مما يسمح لهم بإخفاء علامات الاختراق على أجهزة NX-OS التي تم اختراقها.
تنصح Cisco العملاء بمراقبة وتغيير اعتمادات المستخدمين الإداريين network-admin وvdc-admin بانتظام.
يمكن للمسؤولين استخدام صفحة Cisco Software Checker لمعرفة ما إذا كانت الأجهزة في شبكتهم عرضة للاستهداف من خلال ثغرة CVE-2024-20399.
في أبريل، حذرت Cisco أيضًا من أن مجموعة قرصنة مدعومة من الدولة (التي تُتبع باسم UAT4356 وSTORM-1849) قد استغلت عدة ثغرات صفرية (CVE-2024-20353 وCVE-2024-20359) في أجهزة جدران الحماية التكيفية (Adaptive Security Appliance - ASA) ونظام الدفاع عن التهديدات (Firepower Threat Defense - FTD) منذ نوفمبر 2023 في حملة تحت اسم ArcaneDoor استهدفت شبكات الحكومات في جميع أنحاء العالم.
في ذلك الوقت، أضافت الشركة أنها وجدت أيضًا دلائل على أن القراصنة قد اختبروا وطوروا برامج استغلال لاستهداف الثغرات الصفرية منذ يوليو 2023 على الأقل.
استغلوا الثغرات لتثبيت برمجيات خبيثة غير معروفة، مما سمح لهم بالحفاظ على الثبات على أجهزة ASA وFTD التي تم اختراقها. ومع ذلك، أشارت cisco إلى أنها لم تتمكن بعد من تحديد الناقل الهجومي الأول الذي استخدمه القراصنة لاختراق شبكات الضحايا.
أعلنت Sygnia أن Velvet Ant استهدفت أجهزة F5 BIG-IP ببرمجيات خبيثة مخصصة في حملة تجسس إلكتروني. في هذه الحملة، استخدموا الوصول المستمر إلى شبكات ضحاياهم لسرقة معلومات حساسة للعملاء والمعلومات المالية لمدة ثلاث سنوات دون كشفهم.