cisco parcheó una falla de inyección de línea de comandos en una plataforma de administración de red utilizada para administrar conmutadores en centros de datos, que según los investigadores de Sygnia ya ha sido explotada por el grupo de amenazas respaldado por China conocido como Velvet Ant.
El insecto (CVE-2024-20399, CVSS 6.0) puede permitir a atacantes autenticados ejecutar un comando arbitrario como root en el sistema operativo subyacente de un dispositivo afectado. Se encuentra en la interfaz de línea de comandos (CLI) del software Cisco NX-OS, que permite a los administradores de operaciones del centro de datos solucionar problemas y realizar mantenimiento en dispositivos habilitados para NX-OS, que utilizan el kernel de Linux en su núcleo.
«Esta vulnerabilidad se debe a una validación insuficiente de los argumentos pasados a comandos CLI de configuración específicos», según Reseñas de Cisco sobre la culpa. “Un atacante podría aprovechar esta vulnerabilidad incluyendo entradas manipuladas como argumento para un comando CLI de configuración afectado. »
Según Cisco, la falla afecta una función bash-shell disponible en todas las versiones compatibles del software Cisco NX-OS para los conmutadores de la serie Cisco Nexus y algunos otros productos. Si un dispositivo ejecuta una versión del software Cisco NX-OS que no admite la funcionalidad bash-shell, un usuario con privilegios administrativos podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema operativo subyacente. Si un dispositivo ejecuta una versión del software Cisco NX-OS que admite la funcionalidad bash-shell, un usuario administrador puede acceder directamente al sistema operativo subyacente utilizando esta funcionalidad.
La falla afecta a los siguientes dispositivos Cisco: conmutadores en capas de la serie MDS 9000, conmutadores de la serie Nexus 3000, conmutadores de plataforma Nexus 5500, conmutadores de plataforma Nexus 5600, conmutadores de la serie Nexus 5600 Nexus 6000, conmutadores de la serie Nexus 7000 y conmutadores de la serie Nexus 9000 en NX-independiente Modo sistema operativo. Cisco lanzó actualizaciones que corrigen la falla en los dispositivos afectados, dijo.
Dado que un atacante debe tener credenciales de administrador para explotar la falla CVE-2024-20399, la falla se considera de riesgo medio. Pero a pesar de ello, ya está explotado, por lo que solucionarlo debería ser una prioridad.
Enjambres de hormigas aterciopeladas en CVE-2024-20399
De hecho, la calificación CVSS de 6.0 no impidió que Velvet Ant explotara la falla para ejecutar comandos arbitrarios en el sistema operativo Linux subyacente de un conmutador Cisco Nexus utilizando credenciales válidas y nombres de usuario de administrador en la consola de administración del conmutador, según un informe. Publicación del blog del equipo Sygnia.
NX-OS se basa en un kernel de Linux. Sin embargo, se abstrae del entorno Linux subyacente y proporciona su propio conjunto de comandos utilizando la CLI de NX-OS, según el artículo. Por lo tanto, “para ejecutar comandos en el sistema operativo Linux subyacente desde la consola de administración Switch, un atacante necesitaría una vulnerabilidad de “jailbreak” para escapar del contexto CLI de NX-OS”, que proporciona CVE-2024-20399, según Sygnia.
La explotación del defecto por parte de Velvet Ant. parte de un campaña de varios años revelado por Sygnia e informado por Dark Reading en junio: «condujo a la ejecución de un malware personalizado previamente desconocido que permitió al grupo de amenazas conectarse de forma remota a dispositivos Cisco Nexus comprometidos, descargar archivos adicionales y ejecutar código en los dispositivos», escribió el equipo de Sygnia.
Aprovechar las vulnerabilidades de Cisco es el pasatiempo favorito de los ciberatacantes estatales: por ejemplo, una campaña de ataque no relacionada llamada Puerta Arcana Identificado en abril, también apuntó a dispositivos Cisco para ofrecer dos puertas traseras personalizadas mediante la explotación de vulnerabilidades de día cero para apuntar al perímetro de las redes gubernamentales como parte de una campaña global de ciberespionaje.
Aplique el parche ahora y mitigue aún más los riesgos de vulnerabilidad de Cisco
Los conmutadores Cisco Nexus son comunes en entornos empresariales, especialmente en centros de datos, y generalmente no están expuestos a Internet. Pero gana validez credenciales de nivel de administrador y el acceso a la red a estos dispositivos es una propuesta atractiva para amenazas persistentes avanzadas (APT) como Velvet Ant, que tienden a apuntar a conmutadores desprotegidos y otros dispositivos de red para ganar persistencia y ejecutar comandos durante los ataques cibernéticos, según Sygnia.
Esto significa que las organizaciones afectadas deben seguir las instrucciones de Cisco para parchear los dispositivos vulnerables en una red. Las organizaciones pueden utilizar Comprobador de software para ver si su entorno es vulnerable.
«A pesar de los importantes requisitos previos para explotar la vulnerabilidad discutida, este incidente demuestra la tendencia de grupos de amenazas sofisticados a explotar los dispositivos de red, que a menudo no están adecuadamente protegidos y monitoreados, para mantener un acceso persistente a la red», escribió el equipo de Sygnia.
Reforzar los entornos de red
El incidente también resalta «la importancia crítica de adherirse a las mejores prácticas de seguridad para mitigar este tipo de amenaza», según Sygnia, que recomendó a las organizaciones reforzar sus entornos de diversas maneras.
Estas recomendaciones incluyen restringir el acceso del administrador al equipo de red mediante un gestión de acceso privilegiado (PAM) solución o un servidor dedicado y reforzado, con autenticación multifactor (MFA) Las organizaciones también pueden utilizar la gestión centralizada de autenticación, autorización y contabilidad para que los usuarios agilicen y mejoren la seguridad, especialmente en entornos con muchos conmutadores.
Los administradores de red también deben evitar que los conmutadores inicien conexiones salientes a Internet para reducir el riesgo de que sean explotados por amenazas externas o utilizados para comunicarse con actores maliciosos.
Finalmente, como regla general, las organizaciones también deben aplicar una política de contraseñas sólida y mantener una buena higiene de las contraseñas para que no caigan en las manos equivocadas, según Sygnia, además de mantener horarios regulares de parches para actualizar los dispositivos y evitar hacerlos vulnerables.
No te pierdas las últimas noticias Podcast confidencial de lectura oscura, donde hablamos con dos negociadores de ransomware sobre cómo interactúan con los ciberdelincuentes: incluso cómo negociaron un acuerdo para restaurar las operaciones en una unidad de cuidados intensivos neonatales de un hospital donde había vidas en juego; y cómo ayudaron a una iglesia, donde los propios atacantes “tenían un poco de religión”. ¡Escucha ahora!
