A Cisco publicou ontem um comunicado sobre a CVE-2024-20399, uma vulnerabilidade de injeção de comando recém-descoberta no Cisco NX-OS Software CLI. A vulnerabilidade afeta uma ampla variedade de dispositivos Cisco Nexus. O problema foi descoberto pela empresa Sygnia, especializada em resposta a incidentes, que informou a Cisco com detalhes sobre a exploração e o fluxo de ataque subsequente.
Veja isso
China já usa firmas em operações de ciberdefesa
Cisco alerta para atualização de software após exploração
A vulnerabilidade foi identificada como parte de uma investigação forense mais ampla realizada pela Sygnia sobre uma operação de espionagem cibernética batizada de China-nexus, conduzida por um ator de ameaças que Sygnia chama de ‘Velvet Ant’ (formiga de veludo).
Após a exploração do CVE-2024-20399 pelo Velvet Ant, o grupo executou com sucesso código malicioso no sistema operacional Linux subjacente do switch Nexus. Os dispositivos de rede, especialmente os switches, muitas vezes não são monitorados e seus registros frequentemente não são encaminhados para um sistema de registro centralizado segundo a Sygnia: “Esta falta de monitorização cria desafios significativos na identificação e investigação de atividades maliciosas. A aplicação e adesão consistente às melhores práticas de segurança garantem mecanismos de defesa resilientes, protegendo eficazmente contra ameaças sofisticadas, incluindo ataques patrocinados pelo Estado, como o Velvet Ant”.
Os produtos afetados, segundo a Sygnia, são
- MDS 9000 Series Multilayer Switches (CSCwj97007) *
- Nexus 3000 Series Switches (CSCwj97009)
- Nexus 5500 Platform Switches (CSCwj97011)
- Nexus 5600 Platform Switches (CSCwj97011)
- Nexus 6000 Series Switches (CSCwj97011)
- Nexus 7000 Series Switches (CSCwj94682) *
- Nexus 9000 Series Switches in standalone NX-OS mode (CSCwj97009) *