W jaki sposób chińscy hakerzy wykorzystują luki dnia zerowego w przełącznikach Cisco do rozprzestrzeniania złośliwego oprogramowania?
Chińscy hakerzy stali się ekspertami w wykorzystywaniu luk dnia zerowego w przełącznikach Cisco do rozprzestrzeniania złośliwego oprogramowania. Ich wiedza techniczna pozwala im infiltrować sieci komputerowe w złośliwych celach, narażając bezpieczeństwo firm i użytkowników. Odszyfrowanie coraz bardziej niepokojącego zagrożenia w świecie cyberprzestępczości.
Sommaire
Wykorzystanie luk zero-day w przełącznikach Cisco
Wykorzystywanie luk typu zero-day przez grupy cyberszpiegowskie stanowi rosnące zagrożenie dla bezpieczeństwa światowej infrastruktury cyfrowej. Niedawno zaobserwowano powiązaną z Chinami grupę znaną jako Velvet Ant, której celem były przełączniki Cisco w celu rozprzestrzeniania złośliwego oprogramowania.
Analiza podatności CVE-2024-20399
Luka, o której mowa, oznaczona jako CVE-2024-20399, to krytyczna luka polegająca na wstrzykiwaniu poleceń. Ta słabość umożliwia osobie atakującej, która ma już uprawnienia administratora na urządzeniu, wykonanie dowolnych poleceń w systemie operacyjnym urządzenia, którego dotyczy luka. Firma Cisco ustaliła, że usterka wynika z niewystarczającej weryfikacji argumentów przekazywanych do określonych poleceń konfiguracyjnych CLI.
Metody ataków i wdrażanie złośliwego oprogramowania
Wykorzystując tę lukę, grupa Velvet Ant była w stanie uruchomić nieznane wcześniej niestandardowe złośliwe oprogramowanie, umożliwiając im zdalne łączenie się z zainfekowanymi urządzeniami Cisco Nexus. Stamtąd mogli pobrać dodatkowe pliki i wykonać kod na urządzeniach, znacznie zwiększając ryzyko szkód.
Wpływ na urządzenia i środki zapobiegawcze
Do urządzeń, których dotyczy przede wszystkim CVE-2024-20399, zalicza się kilka serii przełączników Cisco Nexus, takich jak Nexus 3000, 5500, 5600, 6000, 7000 i 9000 w samodzielnym trybie NX-OS. W obliczu tego zagrożenia zaleca się wzmożone monitorowanie dzienników systemowych i wdrożenie scentralizowanego rozwiązania do zarządzania logami, aby aktywnie wykrywać i badać szkodliwe działania.
Ponadto regularne aktualizowanie systemów za pomocą najnowszych poprawek zabezpieczeń dostarczonych przez dostawców i ścisła kontrola dostępu administracyjnego to kluczowe środki zapobiegające wykorzystaniu takich luk.
| Dotknięte urządzenie | Akcja atakującego | Potencjalne konsekwencje |
| MDS9000 | Wykonanie dowolnego kodu | Pełna kontrola nad urządzeniem |
| Nexusa 3000 | Pobieranie złośliwych plików | Kompromis danych |
| Nexusa 5500 | Wstrzyknięcie polecenia | Zakłócenie usług |
| Nexusa 5600 | Zdalne połączenie | Utrata kontroli nad operacjami sieciowymi |
| Nexusa 6000 | Modyfikacja konfiguracji | Zwiększone ryzyko bezpieczeństwa wewnętrznego |
| Nexusa 7000 | Eksfiltracja danych | Wycieki wrażliwych informacji |
| Nexus 9000 (tryb NX-OS) | Montaż backdoorów | Trwałe i niewykryte ataki |
Monitorowanie tych wymiarów umożliwia administratorom systemów podejmowanie proaktywnych działań w celu wykrywania i przeciwdziałania potencjalnym atakom, minimalizując w ten sposób wpływ takich luk dnia zerowego.
Źródło: thehackernews.com
Comments
Leave a comment