Cisco е поправила недостатък в командния ред в платформата за управление на мрежи, използвана за управление на комутатори в центрове за данни, който според изследователи от Sygnia вече е бил използван от подкрепяната от Китай група за заплахи, известна като Velvet Ant.
Грешката (CVE-2024-20399, CVSS 6.0) може да позволи на автентифицирани нападатели да изпълняват произволни команди като root в основната операционна система на засегнатото устройство. Тя е открита в интерфейса на командния ред (CLI) на софтуера Cisco NX-OS, който позволява на мениджърите на операции в центрове за данни да отстраняват неизправности и да извършват операции по поддръжка на устройства с NX-OS, които използват в ядрото си ядрото на Linux.
„Тази уязвимост се дължи на недостатъчно валидиране на аргументите, които се предават на определени конфигурационни CLI команди“, се казва в консултацията на Cisco относно дефекта. „Нападателят може да се възползва от тази уязвимост, като включи подправен вход като аргумент на засегната конфигурационна CLI команда.“
Недостатъкът включва функцията bash-shell, която е налична във всички поддържани версии на софтуера Cisco NX-OS за комутаторите от серията Cisco Nexus и някои други продукти, според Cisco. Ако на дадено устройство е инсталирана версия на Cisco NX-OS Software, която не поддържа функцията bash-shell, потребител с администраторски права може да се възползва от тази уязвимост, за да изпълни произволни команди в основната операционна система. Ако устройството работи със софтуерна версия на Cisco NX-OS, която поддържа функцията bash-shell, потребител с администраторски права може да получи достъп до основната операционна система директно чрез тази функция.
Недостатъкът засяга следните устройства на Cisco: Многослойни комутатори от серията MDS 9000, комутатори от серията Nexus 3000, комутатори от платформата Nexus 5500, комутатори от платформата Nexus 5600, комутатори от серията Nexus 6000, комутатори от серията Nexus 7000 и комутатори от серията Nexus 9000 в самостоятелен режим на NX-OS. Cisco е пуснала актуализации, които поправят дефекта в засегнатите устройства, заяви тя.
Тъй като нападателят трябва да разполага с администраторски данни, за да използва CVE-2024-20399, недостатъкът е оценен само като средно рисков – но дори и така, той вече се използва, така че закърпването му трябва да е приоритетно.
Всъщност оценката 6.0 по CVSS не попречи на Velvet Ant да използва недостатъка, за да изпълни произволни команди в основната операционна система Linux на комутатор Cisco Nexus, като използва валидни администраторски данни за конзолата за управление на комутатора, според публикация в блога на екипа на Sygnia.
NX-OS е базирана на ядрото на Linux; тя обаче абстрахира основната среда на Linux и предоставя собствен набор от команди, използвайки NX-OS CLI, според публикацията. По този начин, „за да изпълни команди на основната операционна система Linux от конзолата за управление на комутатора, нападателят ще се нуждае от уязвимост от типа „jailbreak“, за да избегне контекста на NX-OS CLI“, която CVE-2024-20399 осигурява, според Sygnia.
Използването на дефекта от страна на Velvet Ant – част от многогодишна кампания, разкрита от Sygnia и съобщена от Dark Reading през юни – „доведе до изпълнението на неизвестен досега потребителски зловреден софтуер, който позволи на групата за заплахи да се свърже дистанционно с компрометирани устройства Cisco Nexus, да качи допълнителни файлове и да изпълни код на устройствата“, пише екипът на Sygnia.
Прескачането на недостатъци на Cisco е любимо занимание на кибератаките на национални държави: Например несвързана кампания за атаки, наречена ArcaneDoor, идентифицирана през април, също беше насочена към устройствата на Cisco, за да достави две специално създадени задни врати чрез използване на недостатъци от нулев ден, за да се насочи към периметъра на правителствени мрежи в рамките на глобална кампания за кибершпионаж.
Комутаторите Cisco Nexus са широко разпространени в корпоративните среди, особено в центровете за данни, и обикновено не са изложени на интернет. Но получаването на валидни идентификационни данни на ниво администратор и мрежов достъп до тези устройства е привлекателно предложение за напреднали устойчиви заплахи (APT) като Velvet Ant, които обикновено се насочват към незащитени комутатори и други мрежови устройства, за да постигнат устойчивост и да изпълняват команди по време на кибератаки, според Sygnia.
Това означава, че засегнатите организации трябва да следват инструкциите на Cisco за пакетиране на всички уязвими устройства, налични в мрежата. Организациите могат да използват софтуерен проверител на Cisco, за да проверят дали техните среди са уязвими.
„Въпреки съществените предпоставки за използване на обсъжданата уязвимост, този инцидент демонстрира тенденцията на усъвършенствани групи за заплахи да използват мрежови устройства – които често не са достатъчно защитени и наблюдавани – за поддържане на постоянен достъп до мрежата“, пише екипът на Sygnia.
Инцидентът също така подчертава „критичната важност на спазването на най-добрите практики за сигурност като средство за намаляване на риска от този тип заплахи“, според Sygnia, която препоръчва на организациите да укрепват своите среди по различни начини.
Тези препоръки включват ограничаване на администраторския достъп до мрежовото оборудване чрез използване на решение за управление на привилегирования достъп (PAM) или специален, подсилен сървър с наложено многофакторно удостоверяване (MFA). Организациите също така могат да използват централно управление на удостоверяването, оторизацията и отчитането на потребителите, за да подпомогнат рационализирането и повишаването на сигурността, особено в среди с многобройни комутатори.
Мрежовите администратори също така трябва да ограничат комутаторите да инициират изходящи връзки към интернет, за да намалят риска те да бъдат използвани от външни заплахи или да бъдат използвани за комуникация със злонамерени лица.
И накрая, като общо правило, организациите също трябва да прилагат силна политика за паролите и да поддържат добра хигиена на паролите, така че те да не попадат в неподходящи ръце, според Sygnia, както и да поддържат редовни графици за кръпки, за да актуализират устройствата и да не ги оставят уязвими.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.