Ataques a switches Cisco Nexus exploram zero-day

Da Redação
02/07/2024

A Cisco publicou ontem um comunicado sobre a CVE-2024-20399, uma vulnerabilidade de injeção de comando recém-descoberta no Cisco NX-OS Software CLI. A vulnerabilidade afeta uma ampla variedade de dispositivos Cisco Nexus. O problema foi descoberto pela empresa Sygnia, especializada em resposta a incidentes, que informou a Cisco com detalhes sobre a exploração e o fluxo de ataque subsequente.

Veja isso
China já usa firmas em operações de ciberdefesa
Cisco alerta para atualização de software após exploração

A vulnerabilidade foi identificada como parte de uma investigação forense mais ampla realizada pela Sygnia sobre uma operação de espionagem cibernética batizada de China-nexus, conduzida por um ator de ameaças que Sygnia chama de ‘Velvet Ant’ (formiga de veludo).

Após a exploração do CVE-2024-20399 pelo Velvet Ant, o grupo executou com sucesso código malicioso no sistema operacional Linux subjacente do switch Nexus. Os dispositivos de rede, especialmente os switches, muitas vezes não são monitorados e seus registros frequentemente não são encaminhados para um sistema de registro centralizado segundo a Sygnia: “Esta falta de monitorização cria desafios significativos na identificação e investigação de atividades maliciosas. A aplicação e adesão consistente às melhores práticas de segurança garantem mecanismos de defesa resilientes, protegendo eficazmente contra ameaças sofisticadas, incluindo ataques patrocinados pelo Estado, como o Velvet Ant”.

Os produtos afetados, segundo a Sygnia, são

  • MDS 9000 Series Multilayer Switches (CSCwj97007) *
  • Nexus 3000 Series Switches (CSCwj97009)
  • Nexus 5500 Platform Switches (CSCwj97011)
  • Nexus 5600 Platform Switches (CSCwj97011)
  • Nexus 6000 Series Switches (CSCwj97011)
  • Nexus 7000 Series Switches (CSCwj94682) *
  • Nexus 9000 Series Switches in standalone NX-OS mode (CSCwj97009) *

Compartilhar: