Търсене
Close this search box.

Cisco е поправила недостатък в командния ред в платформата за управление на мрежи, използвана за управление на комутатори в центрове за данни, който според изследователи от Sygnia вече е бил използван от подкрепяната от Китай група за заплахи, известна като Velvet Ant.

Грешката (CVE-2024-20399, CVSS 6.0) може да позволи на автентифицирани нападатели да изпълняват произволни команди като root в основната операционна система на засегнатото устройство. Тя е открита в интерфейса на командния ред (CLI) на софтуера Cisco NX-OS, който позволява на мениджърите на операции в центрове за данни да отстраняват неизправности и да извършват операции по поддръжка на устройства с NX-OS, които използват в ядрото си ядрото на Linux.

„Тази уязвимост се дължи на недостатъчно валидиране на аргументите, които се предават на определени конфигурационни CLI команди“, се казва в консултацията на Cisco относно дефекта. „Нападателят може да се възползва от тази уязвимост, като включи подправен вход като аргумент на засегната конфигурационна CLI команда.“

Недостатъкът включва функцията bash-shell, която е налична във всички поддържани версии на софтуера Cisco NX-OS за комутаторите от серията Cisco Nexus и някои други продукти, според Cisco. Ако на дадено устройство е инсталирана версия на Cisco NX-OS Software, която не поддържа функцията bash-shell, потребител с администраторски права може да се възползва от тази уязвимост, за да изпълни произволни команди в основната операционна система. Ако устройството работи със софтуерна версия на Cisco NX-OS, която поддържа функцията bash-shell, потребител с администраторски права може да получи достъп до основната операционна система директно чрез тази функция.

Недостатъкът засяга следните устройства на Cisco: Многослойни комутатори от серията MDS 9000, комутатори от серията Nexus 3000, комутатори от платформата Nexus 5500, комутатори от платформата Nexus 5600, комутатори от серията Nexus 6000, комутатори от серията Nexus 7000 и комутатори от серията Nexus 9000 в самостоятелен режим на NX-OS. Cisco е пуснала актуализации, които поправят дефекта в засегнатите устройства, заяви тя.

Тъй като нападателят трябва да разполага с администраторски данни, за да използва CVE-2024-20399, недостатъкът е оценен само като средно рисков – но дори и така, той вече се използва, така че закърпването му трябва да е приоритетно.

Рояци от Velvet Ant за CVE-2024-20399

Всъщност оценката 6.0 по CVSS не попречи на Velvet Ant да използва недостатъка, за да изпълни произволни команди в основната операционна система Linux на комутатор Cisco Nexus, като използва валидни администраторски данни за конзолата за управление на комутатора, според публикация в блога на екипа на Sygnia.

NX-OS е базирана на ядрото на Linux; тя обаче абстрахира основната среда на Linux и предоставя собствен набор от команди, използвайки NX-OS CLI, според публикацията. По този начин, „за да изпълни команди на основната операционна система Linux от конзолата за управление на комутатора, нападателят ще се нуждае от уязвимост от типа „jailbreak“, за да избегне контекста на NX-OS CLI“, която CVE-2024-20399 осигурява, според Sygnia.

Използването на дефекта от страна на Velvet Ant – част от многогодишна кампания, разкрита от Sygnia и съобщена от Dark Reading през юни – „доведе до изпълнението на неизвестен досега потребителски зловреден софтуер, който позволи на групата за заплахи да се свърже дистанционно с компрометирани устройства Cisco Nexus, да качи допълнителни файлове и да изпълни код на устройствата“, пише екипът на Sygnia.

Прескачането на недостатъци на Cisco е любимо занимание на кибератаките на национални държави: Например несвързана кампания за атаки, наречена ArcaneDoor, идентифицирана през април, също беше насочена към устройствата на Cisco, за да достави две специално създадени задни врати чрез използване на недостатъци от нулев ден, за да се насочи към периметъра на правителствени мрежи в рамките на глобална кампания за кибершпионаж.

Поправете сега и намалете риска от допълнителни уязвимости на Cisco

Комутаторите Cisco Nexus са широко разпространени в корпоративните среди, особено в центровете за данни, и обикновено не са изложени на интернет. Но получаването на валидни идентификационни данни на ниво администратор и мрежов достъп до тези устройства е привлекателно предложение за напреднали устойчиви заплахи (APT) като Velvet Ant, които обикновено се насочват към незащитени комутатори и други мрежови устройства, за да постигнат устойчивост и да изпълняват команди по време на кибератаки, според Sygnia.

Това означава, че засегнатите организации трябва да следват инструкциите на Cisco за пакетиране на всички уязвими устройства, налични в мрежата. Организациите могат да използват софтуерен проверител на Cisco, за да проверят дали техните среди са уязвими.

„Въпреки съществените предпоставки за използване на обсъжданата уязвимост, този инцидент демонстрира тенденцията на усъвършенствани групи за заплахи да използват мрежови устройства – които често не са достатъчно защитени и наблюдавани – за поддържане на постоянен достъп до мрежата“, пише екипът на Sygnia.

Заздравяване на мрежовите среди

Инцидентът също така подчертава „критичната важност на спазването на най-добрите практики за сигурност като средство за намаляване на риска от този тип заплахи“, според Sygnia, която препоръчва на организациите да укрепват своите среди по различни начини.

Тези препоръки включват ограничаване на администраторския достъп до мрежовото оборудване чрез използване на решение за управление на привилегирования достъп (PAM) или специален, подсилен сървър с наложено многофакторно удостоверяване (MFA). Организациите също така могат да използват централно управление на удостоверяването, оторизацията и отчитането на потребителите, за да подпомогнат рационализирането и повишаването на сигурността, особено в среди с многобройни комутатори.

Мрежовите администратори също така трябва да ограничат комутаторите да инициират изходящи връзки към интернет, за да намалят риска те да бъдат използвани от външни заплахи или да бъдат използвани за комуникация със злонамерени лица.

И накрая, като общо правило, организациите също трябва да прилагат силна политика за паролите и да поддържат добра хигиена на паролите, така че те да не попадат в неподходящи ръце, според Sygnia, както и да поддържат редовни графици за кръпки, за да актуализират устройствата и да не ги оставят уязвими.

 

 

Източник: DARKReading

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!