Un grupo de ciberespionaje con nexos con China, conocido como Velvet Ant, ha sido observado explotando una vulnerabilidad cero día en el software NX-OS de Cisco utilizado en sus switches para entregar malware. La vulnerabilidad, rastreada como CVE-2024-20399 (puntuación CVSS: 6.0), se refiere a un caso de inyección de comandos que permite a un atacante autenticado y local ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado. Al explotar esta vulnerabilidad, Velvet Ant ejecutó con éxito un malware personalizado desconocido anteriormente que permitió al grupo de amenazas conectarse remotamente a dispositivos Cisco Nexus comprometidos, subir archivos adicionales y ejecutar código en los dispositivos, según declaró la empresa de ciberseguridad Sygnia en un comunicado compartido con The Hacker News.
Cisco ha dicho que el problema se debe a la insuficiente validación de los argumentos que se pasan a comandos CLI de configuración específicos, lo que podría ser explotado por un adversario incluyendo entrada crafteda como argumento de un comando CLI de configuración afectado.
- Conmutadores de capa múltiple de la serie MDS 9000
- Conmutadores de la serie Nexus 3000
- Plataformas de conmutadores Nexus 5500
- Plataformas de conmutadores Nexus 5600
- Conmutadores de la serie Nexus 6000
- Conmutadores de la serie Nexus 7000, y
- Conmutadores de la serie Nexus 9000 en modo NX-OS independiente
Sygnia dijo que descubrió la explotación en el wild de CVE-2024-20399 durante una investigación forense más amplia que tuvo lugar durante el pasado año. Cisco, sin embargo, notó que se enteró de la explotación intentada de la vulnerabilidad en abril de 2024.
Velvet Ant se documentó por primera vez por la empresa de ciberseguridad israelí el mes pasado en conexión con un ciberataque que targeting una organización anónima ubicada en Asia Oriental durante un período de aproximadamente tres años, estableciendo persistencia utilizando dispositivos F5 BIG-IP desactualizados para robar información de clientes y financieros de manera sigilosa.
Los dispositivos de red, especialmente los conmutadores, suelen no ser monitorizados y sus registros no se envían con frecuencia a un sistema de registro centralizado, según Sygnia. Esta falta de monitorización crea desafíos significativos para identificar y investigar actividades malintencionadas.
Este desarrollo se produce en un momento en que los actores de amenazas están explotando una vulnerabilidad crítica que afecta a los routers Wi-Fi D-Link DIR-859 (CVE-2024-0769, puntaje de CVSS: 9,8) – un problema de travesía de ruta que conduce a la divulgación de información – para recopilar información de cuenta como nombres, contraseñas, grupos y descripciones de todos los usuarios.
Las variaciones de explotación [. ] permiten la extracción de detalles de cuenta del dispositivo, según la empresa de inteligencia de amenazas GreyNoise. El producto está en fin de vida, por lo que no se parcheará, lo que plantea riesgos de explotación a largo plazo. Se pueden invocar múltiples archivos XML utilizando la vulnerabilidad.
¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
