Un grupo de espionaje cibernético vinculado a China, conocido como Velvet Ant, ha sido observado aprovechando una vulnerabilidad zero-day en el Software Cisco NX-OS, utilizado en sus switches para entregar malware.
La vulnerabilidad, denominada CVE-2024-20399 (puntuación CVSS: 6.0), es un caso de inyección de comandos que permite a un atacante local autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado.
Al explotar esta vulnerabilidad, Velvet Ant ejecutó con éxito un malware personalizado anteriormente desconocido que les permitió conectarse de forma remota a dispositivos Cisco Nexus comprometidos, cargar archivos adicionales y ejecutar código en los dispositivos, según la firma de ciberseguridad Sygnia.
Cisco señaló que el problema se debe a la validación insuficiente de argumentos que se pasan a comandos CLI de configuración específicos, lo que podría ser explotado por un adversario al incluir entradas diseñadas como el argumento de un comando CLI de configuración afectado.
Además, permite a un usuario con privilegios de Administrador ejecutar comandos sin activar mensajes del sistema syslog, lo que hace posible ocultar la ejecución de comandos de shell en dispositivos hackeados.
A pesar de las capacidades de ejecución de código de la vulnerabilidad, la gravedad inferior se debe al hecho de que la explotación exitosa requiere que un atacante ya posea credenciales de administrador y tenga acceso a comandos de configuración específicos.
Los siguientes dispositivos se ven afectados por CVE-2024-20399: Multilayer Switches de la Serie MDS 9000, Switches de la Serie Nexus 3000, Switches de la Plataforma Nexus 5500, Switches de la Plataforma Nexus 5600, Switches de la Serie Nexus 6000, Switches de la Serie Nexus 7000, y Switches de la Serie Nexus 9000 en modo NX-OS independiente.
Velvet Ant fue documentado por primera vez por la firma de ciberseguridad israelí el mes pasado en relación con un ataque cibernético dirigido a una organización no identificada ubicada en Asia Oriental.
Según Sygnia, los dispositivos de red, en particular los switches, a menudo no son monitoreados y sus registros frecuentemente no se envían a un sistema de registro centralizado, lo que crea desafíos significativos para identificar e investigar actividades maliciosas.
Este desarrollo se produce mientras actores de amenazas están explotando una vulnerabilidad crítica que afecta a los routers Wi-Fi D-Link DIR-859 (CVE-2024-0769, puntuación CVSS: 9.8) para recopilar información de cuenta como nombres, contraseñas, grupos y descripciones de todos los usuarios, según la firma de inteligencia de amenazas GreyNoise.
Las variaciones del exploit permiten la extracción de detalles de cuenta del dispositivo. El producto está fuera de servicio, lo que plantea riesgos de explotación a largo plazo. Se pueden invocar múltiples archivos XML utilizando la vulnerabilidad.
Vía The Hacker News