Detalhes surgiram sobre a exploração de uma falha de segurança recentemente divulgada e agora corrigida em switches da Cisco por um grupo de ameaças com nexos na China, utilizando-a como um zero-day para assumir o controle dos dispositivos e evitar detecção.
A atividade, atribuída a Velvet Ant, foi observada no início deste ano e envolveu a weaponization do CVE-2024-20399 (pontuação CVSS: 6.0) para entregar malware sob medida e ganhar controle extensivo sobre o sistema comprometido, facilitando tanto a exfiltração de dados quanto o acesso persistente.
"O exploit de zero-day permite que um atacante com credenciais de administrador válidas para o console de gerenciamento do Switch escape da interface de linha de comando (CLI) do NX-OS e execute comandos arbitrários no sistema operacional Linux subjacente," disse a empresa de cibersegurança Sygnia em um relatório compartilhado.
Velvet Ant chamou a atenção dos pesquisadores na empresa israelense de cibersegurança em conexão com uma campanha de vários anos que visava uma organização não nomeada localizada no Leste Asiático, aproveitando os aparelhos F5 BIG-IP legados como um ponto de vantagem para estabelecer persistência no ambiente comprometido.
A exploração furtiva do CVE-2024-20399 pelo ator de ameaças veio à luz no início do mês passado, levando a Cisco a emitir atualizações de segurança para corrigir a falha.
Notável entre as técnicas de ataque estão o nível de sofisticação e as táticas de metamorfose adotadas pelo grupo, inicialmente infiltrando-se em novos sistemas Windows antes de se mover para servidores Windows legados e dispositivos de rede em uma tentativa de passar despercebido.
"A transição para operar a partir de dispositivos de rede internos marca mais uma escalada nas técnicas de evasão usadas para garantir a continuação da campanha de espionagem," disse a Sygnia.
A cadeia de ataque mais recente envolve invadir um dispositivo switch da Cisco usando o CVE-2024-20399 e realizar atividades de reconhecimento, posteriormente pivotando para mais dispositivos de rede e, finalmente, executando um binário backdoor por meio de um script malicioso.
O payload, apelidado de VELVETSHELL, é uma fusão de duas ferramentas open-source, um backdoor Unix chamado Tiny SHell e uma utilidade de proxy chamada 3proxy.
Ele também suporta capacidades para executar comandos arbitrários, fazer download/upload de arquivos e estabelecer túneis para o proxy de tráfego de rede.
"O modus operandi do 'Velvet Ant' destaca riscos e questões em relação a aparelhos e aplicações de terceiros que as organizações incorporam," disse a empresa.
Devido à natureza 'caixa preta' de muitos aparelhos, cada peça de hardware ou software tem o potencial de se tornar a superfície de ataque que um adversário é capaz de explorar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...