Threats
A vulnerabilidade permite que o atacante possa executar ordens arbitrárias, mas só o consegue fazer se tiver acesso a credenciais de administradores
03/07/2024
Um grupo de ciberespionagem associado ao governo chinês, conhecido como Velvet Ant, foi recentemente detetado a utilizar uma falha zero-day no software Cisco NX-OS, utilizado nos seus switches, para distribuir malware. A vulnerabilidade, identificada como CVE-2024-20399, com pontuação CVSS de seis, permite a injeção de comandos dando a possibilidade a um cibercriminoso identificado e local efetuar ordens arbitrárias como root no sistema operativo de um dispositivo afetado. “Ao explorar esta vulnerabilidade, Velvet Ant conseguiu executar com sucesso um malware personalizado anteriormente desconhecido que permitiu ao grupo de ciberespionagem ligar-se remotamente a dispositivos Cisco Nexus comprometidos, carregar ficheiros adicionais e executar código nos equipamentos”, afirma a empresa de cibersegurança Sygnia num comunicado. A Cisco partilhou que o problema tem origem numa validação inadequada das ordens que são passados para comandos CLI de configuração específicos, que podem ser explorados por um adversário através da inclusão de entradas criadas como argumento de um comando CLI de configuração afetada. A vulnerabilidade permite que um utilizador com privilégios de administrador efetue comandos sem desencadear mensagens syslog do sistema, tornando assim possível ocultar de comandos Shell em aparelhos pirateados. Apesar das capacidades de execução de código da falha, a sua gravidade é menor pelo facto de que uma exploração bem-sucedida requerer que um atacante já esteja na posse de credenciais de administrador e tenha acesso a comandos de configuração específicos. Os equipamentos afetados pela CVE-2024-20399 são o MDS 9000 Series Multilayer Switches; Nexus 3000 Series Switches; Nexus 5500 Platform Switches; Nexus 5600 Platform Switches; Nexus 6000 Series Switches; Nexus 7000 Series Switches e Nexus 9000 Series Switches. O grupo de ciberespionagem Velvet Ant foi documentado pela primeira vez por uma companhia israelita de cibersegurança no mês passado, em conexão com o ciberataque que tinha como alvo uma organização anónima localizada na Ásia Oriental. “Os equipamentos de redes, especialmente os switches, muitas vezes não são monitorizados e os seus registos não são frequentemente encaminhados para um sistema de registo centralizado. Esta falta de monitorização cria desafios significativos na identificação e investigação de atividades maliciosas”, refere a Sygnia no comunicado |