Kínai hackerek használják ki a Cisco eszközök 0-Day sérülékenységét, hogy rosszindulatú szoftvereket terjesszenek

A Velvet Ant nevű kiberkémkedő csoport a Cisco NX-OS szoftverében található nulladik napi sérülékenységet használja ki, melynek segítségével a Cisco eszközeit használnak rosszindulatú programok telepítésére. A CVE-2024-20399 (CVSS score: 6.0) néven ismert sebezhetőség parancsbefecskendezéses támadást tartalmaz, amely lehetővé teszi, hogy egy hitelesített üzemeltető tetszőleges parancsokat hajtson végre az érintett eszközön. A Velvet Ant ezt a sebezhetőséget olyan rosszindulatú szoftverek beültetésére használta, amelyek távoli hozzáférést tettek lehetővé a veszélyeztetett Cisco Nexus eszközökhöz, lehetővé téve a fájlfeltöltést és a kódfuttatást. Ez a biztonsági hiba az egyes konfigurációs parancsokhoz átadott argumentumok elégtelen ellenőrzéséből ered, és gondosan kiválasztott bemenettel kihasználható.

A hiba kódfuttatási lehetőségei ellenére a kockázati szint viszonylag alacsony, mivel a sikeres kihasználáshoz rendszergazdai hitelesítő adatok birtoklására és bizonyos konfigurációs parancsokhoz való hozzáférésre van szükség. A hiba számos eszközt érint, köztük számos Nexus és MDS 9000 sorozatú switchet. A fentieken túlmenően a Velvet Ant csoportot egy ismeretlen kelet-ázsiai szervezet elleni kibertámadásban is azonosították, amely során elavult F5 BIG-IP készülékeket használtak ki adatlopás céljából.

(forrás)