Zero-Day em switches da Cisco
2 de Julho de 2024

Um grupo de espionagem cibernética ligado à China, denominado Velvet Ant, foi flagrado explorando uma falha zero-day no software Cisco NX-OS, utilizado em seus switches, para entregar malware.

A vulnerabilidade, identificada como CVE-2024-20399 (pontuação CVSS: 6.0), refere-se a um caso de injection de comando que permite a um atacante autenticado e local executar comandos arbitrários como root no sistema operacional subjacente de um dispositivo afetado.

"Explorando essa vulnerabilidade, o Velvet Ant conseguiu executar um malware personalizado até então desconhecido, permitindo ao grupo de ameaças conectar-se remotamente a dispositivos Cisco Nexus comprometidos, fazer upload de arquivos adicionais e executar código nos dispositivos", afirmou a empresa de cibersegurança Sygnia em um comunicado.

A Cisco informou que o problema decorre da validação insuficiente de argumentos que são passados para comandos específicos de configuração CLI, que poderiam ser explorados por um adversário incluindo inputs elaborados como argumento de um comando de configuração CLI afetado.

Além disso, isso permite que um usuário com privilégios de administrador execute comandos sem acionar mensagens de log do sistema, tornando possível ocultar a execução de comandos shell em aparelhos hackeados.

Apesar das capacidades de execução de código da falha, a severidade menor se deve ao fato de que a exploração bem-sucedida requer que um atacante já esteja na posse das credenciais de administrador e tenha acesso a comandos de configuração específicos.

Os seguintes dispositivos são impactados pelo CVE-2024-20399:

- Switches da série MDS 9000
- Switches da série Nexus 3000
- Plataformas de switches Nexus 5500
- Plataformas de switches Nexus 5600
- Switches da série Nexus 6000
- Switches da série Nexus 7000, e
- Switches da série Nexus 9000 em modo NX-OS autônomo

O Velvet Ant foi documentado pela primeira vez pela firma israelense de cibersegurança no mês passado, em conexão com um ataque cibernético direcionado a uma organização não nomeada localizada no Leste Asiático por um período de cerca de três anos, estabelecendo persistência usando aparelhos F5 BIG-IP desatualizados a fim de furtar de forma furtiva informações de clientes e financeiras.

"Appliances de rede, particularmente switches, muitas vezes não são monitorados, e seus logs frequentemente não são encaminhados para um sistema centralizado de logs," disse a Sygnia.

Esta falta de monitoramento cria desafios significativos na identificação e investigação de atividades maliciosas.

O desenvolvimento ocorre enquanto atores de ameaças estão explorando uma vulnerabilidade crítica afetando roteadores Wi-Fi D-Link DIR-859 ( CVE-2024-0769 , pontuação CVSS: 9.8) – uma questão de path traversal que leva à divulgação de informações – para coletar informações de conta como nomes, senhas, grupos e descrições de todos os usuários.

"As variações do exploit [...] permitem a extração de detalhes de conta do dispositivo," disse a firma de inteligência de ameaças GreyNoise.

O produto está End-of-Life, então não será corrigido, representando riscos de exploração a longo prazo.

Vários arquivos XML podem ser invocados usando a vulnerabilidade.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...