Um grupo de espionagem cibernética com conexão à China chamado Velvet Ant foi observado explorando uma falha de dia zero no software program Cisco NX-OS usado em seus switches para distribuir malware.
A vulnerabilidade, rastreada como CVE-2024-20399 (pontuação CVSS: 6,0), diz respeito a um caso de injeção de comando que permite que um invasor native autenticado execute comandos arbitrários como root no sistema operacional subjacente de um dispositivo afetado.
“Ao explorar essa vulnerabilidade, o Velvet Ant executou com sucesso um malware personalizado até então desconhecido que permitiu ao grupo de ameaças se conectar remotamente a dispositivos Cisco Nexus comprometidos, carregar arquivos adicionais e executar código nos dispositivos”, disse a empresa de segurança cibernética Sygnia em uma declaração compartilhada com o The Hacker Information.
A Cisco disse que o problema decorre da validação insuficiente de argumentos passados para comandos CLI de configuração específicos, o que pode ser explorado por um adversário ao incluir uma entrada criada como argumento de um comando CLI de configuração afetado.
Além disso, ele permite que um usuário com privilégios de administrador execute comandos sem acionar mensagens syslog do sistema, possibilitando assim ocultar a execução de comandos shell em dispositivos hackeados.
Apesar das capacidades de execução de código da falha, a menor gravidade se deve ao fato de que a exploração bem-sucedida exige que um invasor já esteja em posse de credenciais de administrador e tenha acesso a comandos de configuração específicos. Os seguintes dispositivos são impactados pelo CVE-2024-20399 –
- Switches multicamadas série MDS 9000
- Switches Nexus Série 3000
- Switches de plataforma Nexus 5500
- Switches de plataforma Nexus 5600
- Switches Nexus série 6000
- Switches Nexus série 7000 e
- Switches Nexus série 9000 no modo NX-OS autônomo
O Velvet Ant foi documentado pela primeira vez pela empresa israelense de segurança cibernética no mês passado em conexão com um ataque cibernético direcionado a uma organização não identificada localizada no Leste Asiático por um período de cerca de três anos, estabelecendo persistência usando dispositivos F5 BIG-IP desatualizados para roubar furtivamente informações financeiras e de clientes.
“Aparelhos de rede, particularmente switches, geralmente não são monitorados, e seus logs frequentemente não são encaminhados para um sistema de log centralizado”, disse Sygnia. “Essa falta de monitoramento cria desafios significativos na identificação e investigação de atividades maliciosas.”
O desenvolvimento ocorre no momento em que os agentes de ameaças estão explorando uma vulnerabilidade crítica que afeta os roteadores Wi-Fi D-Hyperlink DIR-859 (CVE-2024-0769, pontuação CVSS: 9,8) — um problema de travessia de caminho que leva à divulgação de informações — para coletar informações de conta, como nomes, senhas, grupos e descrições de todos os usuários.
“As variações do exploit (…) permitem a extração de detalhes da conta do dispositivo”, disse a empresa de inteligência de ameaças GreyNoise. “O produto está no fim da vida útil, então não será corrigido, o que representa riscos de exploração de longo prazo. Vários arquivos XML podem ser invocados usando a vulnerabilidade.”
