Як китайські хакери використовують уразливості нульового дня в комутаторах Cisco для поширення шкідливих програм?
Китайські хакери стали експертами у використанні вразливостей нульового дня в комутаторах Cisco для поширення шкідливого програмного забезпечення. Їхні технічні знання дозволяють їм проникати в комп’ютерні мережі зі зловмисною метою, ставлячи під загрозу безпеку компаній і користувачів. Розшифровка загрози, яка стає все більш тривожною у світі кіберзлочинності.
Sommaire
Використання вразливостей Zero-Day у комутаторах Cisco
Використання вразливостей нульового дня групами кібершпигунства є зростаючою загрозою безпеці світової цифрової інфраструктури. Нещодавно спостерігали пов’язану з Китаєм групу, відому як Velvet Ant, яка спеціально націлювалася на комутатори Cisco для поширення шкідливого програмного забезпечення.
Аналіз вразливості CVE-2024-20399
Уразливість, про яку йде мова, ідентифікована як CVE-2024-20399, є критичною помилкою впровадження команди. Ця слабкість дозволяє зловмиснику, який уже має права адміністратора на пристрої, виконувати довільні команди в базовій операційній системі ураженого пристрою. Cisco виявила, що дефект виникає через недостатню перевірку аргументів, переданих до певних команд CLI конфігурації.
Методи атак і розгортання шкідливих програм
Використовуючи цю вразливість, група Velvet Ant змогла запустити раніше невідоме спеціальне шкідливе програмне забезпечення, що дозволило їм віддалено підключатися до скомпрометованих пристроїв Cisco Nexus. Звідти вони могли завантажувати додаткові файли та виконувати код на пристроях, значно підвищуючи потенціал шкоди.
Вплив на пристрої та заходи профілактики
Пристрої, на які в першу чергу впливає CVE-2024-20399, включають кілька серій комутаторів Cisco Nexus, як-от Nexus 3000, 5500, 5600, 6000, 7000 і 9000 в автономному режимі NX-OS. Зіткнувшись із цією загрозою, рекомендується посилити моніторинг системних журналів і запровадити централізоване рішення для керування журналами, щоб активно виявляти та досліджувати шкідливі дії.
Крім того, регулярне оновлення систем останніми виправленнями безпеки, наданими постачальниками, і суворий контроль адміністративного доступу є ключовими заходами для запобігання використанню таких вразливостей.
| Уражений пристрій | Дії нападника | Потенційний наслідок |
| MDS 9000 | Виконання довільного коду | Повний контроль пристрою |
| Nexus 3000 | Завантаження шкідливих файлів | Компрометація даних |
| Nexus 5500 | Командна ін’єкція | Порушення надання послуг |
| Nexus 5600 | Віддалене підключення | Втрата контролю над мережевими операціями |
| Nexus 6000 | Модифікація конфігурації | Підвищені ризики внутрішньої безпеки |
| Nexus 7000 | Викрадання даних | Витік конфіденційної інформації |
| Nexus 9000 (режим NX-OS) | Монтаж бекдорів | Постійні та невиявлені атаки |
Моніторинг цих параметрів дозволяє системним адміністраторам вживати профілактичних заходів для виявлення та протидії потенційним атакам, таким чином мінімізуючи вплив таких уразливостей нульового дня.
Джерело: thehackernews.com
Comments
Leave a comment