Hackers chineses exploram switches Cisco Zero-Day para distribuir malware
![CISCO](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUFpTKS49jwhfQpcN_DKBjcPukrcV0JRkpZ3zGMovIQLhS5STmUfaIbOfGShamu48xU-aCUkM3CKl_1sYH0ZI_LThJzVhD6fS_xteyR4ra3kJQRCnOvQ9oGqbmaTDWix7W-IgaoEaxrqqwYKLoAM-NrcEFS_yVJw83WvkEt1zW-g8jNGi4x4jKQb0_ofS8/s728-rw-e365/CISCO.png?w=780&resize=780,470&ssl=1)
![Cisco muda zero-day Cisco muda zero-day](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUFpTKS49jwhfQpcN_DKBjcPukrcV0JRkpZ3zGMovIQLhS5STmUfaIbOfGShamu48xU-aCUkM3CKl_1sYH0ZI_LThJzVhD6fS_xteyR4ra3kJQRCnOvQ9oGqbmaTDWix7W-IgaoEaxrqqwYKLoAM-NrcEFS_yVJw83WvkEt1zW-g8jNGi4x4jKQb0_ofS8/s728-rw-e365/CISCO.png)
Um grupo de espionagem cibernética com conexão à China chamado Velvet Ant foi observado explorando uma falha de dia zero no software program Cisco NX-OS usado em seus switches para distribuir malware.
A vulnerabilidade, rastreada como CVE-2024-20399 (pontuação CVSS: 6,0), diz respeito a um caso de injeção de comando que permite que um invasor native autenticado execute comandos arbitrários como root no sistema operacional subjacente de um dispositivo afetado.
“Ao explorar essa vulnerabilidade, o Velvet Ant executou com sucesso um malware personalizado até então desconhecido que permitiu ao grupo de ameaças se conectar remotamente a dispositivos Cisco Nexus comprometidos, carregar arquivos adicionais e executar código nos dispositivos”, disse a empresa de segurança cibernética Sygnia em uma declaração compartilhada com o The Hacker Information.
A Cisco disse que o problema decorre da validação insuficiente de argumentos passados para comandos CLI de configuração específicos, o que pode ser explorado por um adversário ao incluir uma entrada criada como argumento de um comando CLI de configuração afetado.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
Além disso, ele permite que um usuário com privilégios de administrador execute comandos sem acionar mensagens syslog do sistema, possibilitando assim ocultar a execução de comandos shell em dispositivos hackeados.
Apesar das capacidades de execução de código da falha, a menor gravidade se deve ao fato de que a exploração bem-sucedida exige que um invasor já esteja em posse de credenciais de administrador e tenha acesso a comandos de configuração específicos. Os seguintes dispositivos são impactados pelo CVE-2024-20399 –
- Switches multicamadas série MDS 9000
- Switches Nexus Série 3000
- Switches de plataforma Nexus 5500
- Switches de plataforma Nexus 5600
- Switches Nexus série 6000
- Switches Nexus série 7000 e
- Switches Nexus série 9000 no modo NX-OS autônomo
O Velvet Ant foi documentado pela primeira vez pela empresa israelense de segurança cibernética no mês passado em conexão com um ataque cibernético direcionado a uma organização não identificada localizada no Leste Asiático por um período de cerca de três anos, estabelecendo persistência usando dispositivos F5 BIG-IP desatualizados para roubar furtivamente informações financeiras e de clientes.
“Aparelhos de rede, particularmente switches, geralmente não são monitorados, e seus logs frequentemente não são encaminhados para um sistema de log centralizado”, disse Sygnia. “Essa falta de monitoramento cria desafios significativos na identificação e investigação de atividades maliciosas.”
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
O desenvolvimento ocorre no momento em que os agentes de ameaças estão explorando uma vulnerabilidade crítica que afeta os roteadores Wi-Fi D-Hyperlink DIR-859 (CVE-2024-0769, pontuação CVSS: 9,8) — um problema de travessia de caminho que leva à divulgação de informações — para coletar informações de conta, como nomes, senhas, grupos e descrições de todos os usuários.
“As variações do exploit (…) permitem a extração de detalhes da conta do dispositivo”, disse a empresa de inteligência de ameaças GreyNoise. “O produto está no fim da vida útil, então não será corrigido, o que representa riscos de exploração de longo prazo. Vários arquivos XML podem ser invocados usando a vulnerabilidade.”