Detalles han surgido acerca de la explotación de un fallo de seguridad recientemente revelado y ahora parcheado en los switches de Cisco por un grupo de amenazas relacionado con China como un zero-day para tomar el control del dispositivo y evadir la detección.
La actividad, atribuida a Velvet Ant, fue observada a principios de este año e implicó la utilización de CVE-2024-20399 (puntuación CVSS: 6.0) para distribuir malware a medida y obtener un control extensivo sobre el sistema comprometido, facilitando tanto la exfiltración de datos como el acceso persistente.
Según la empresa de ciberseguridad Sygnia, la explotación zero-day permite a un atacante con credenciales de administrador válidas acceder a la consola de gestión del Switch para escapar de la interfaz de línea de comandos (CLI) NX-OS y ejecutar comandos arbitrarios en el sistema operativo subyacente de Linux.
Velvet Ant llamó la atención de investigadores de la empresa israelí de ciberseguridad en relación con una campaña de varios años que apuntó a una organización no identificada ubicada en Asia Oriental al aprovechar dispositivos heredados F5 BIG-IP como un punto de apoyo para establecer persistencia en el entorno comprometido.
La explotación sigilosa del CVE-2024-20399 por parte del actor de amenazas salió a la luz a principios del mes pasado, lo que llevó a Cisco a emitir actualizaciones de seguridad para solucionar la falla.
Destaca entre las habilidades profesionales el nivel de sofisticación y las tácticas de cambio de forma adoptadas por el grupo, infiltrándose inicialmente en nuevos sistemas Windows antes de pasar a servidores heredados de Windows y dispositivos de red en un intento de pasar desapercibidos.
«La transición a operar desde dispositivos de red internos marca una escalada más en las técnicas de evasión utilizadas para asegurar la continuación de la campaña de espionaje», dijo Sygnia.
La última cadena de ataques implica abrirse paso en un dispositivo Cisco switch utilizando CVE-2024-20399 y llevar a cabo actividades de reconocimiento, para posteriormente pivotar hacia más dispositivos de red y finalmente ejecutar un binario de puerta trasera mediante un script malicioso.
El payload, llamado VELVETSHELL, es una combinación de dos herramientas de código abierto, una puerta trasera de Unix llamada Tiny SHell y una utilidad proxy llamada 3proxy. También cuenta con capacidades para ejecutar comandos arbitrarios, descargar/subir archivos y establecer túneles para el tráfico de red a través de un proxy.
«El modus operandi de ‘Velvet Ant‘ destaca los riesgos y preguntas sobre los dispositivos y aplicaciones de terceros que las organizaciones incorporan», dijo la empresa. «Debido a la naturaleza de ‘caja negra’ de muchos dispositivos, cada pieza de hardware o software tiene el potencial de convertirse en la superficie de ataque que un adversario puede explotar.»
Vía The Hacker News
