Threats
A vulnerabilidade permite que o atacante possa executar ordens arbitrárias, mas só o consegue fazer se tiver acesso a credenciais de administradores
03/07/2024
|
Um grupo de ciberespionagem associado ao governo chinês, conhecido como Velvet Ant, foi recentemente detetado a utilizar uma falha zero-day no software Cisco NX-OS, utilizado nos seus switches, para distribuir malware. A vulnerabilidade, identificada como CVE-2024-20399, com pontuação CVSS de seis, permite a injeção de comandos dando a possibilidade a um cibercriminoso identificado e local efetuar ordens arbitrárias como root no sistema operativo de um dispositivo afetado. “Ao explorar esta vulnerabilidade, Velvet Ant conseguiu executar com sucesso um malware personalizado anteriormente desconhecido que permitiu ao grupo de ciberespionagem ligar-se remotamente a dispositivos Cisco Nexus comprometidos, carregar ficheiros adicionais e executar código nos equipamentos”, afirma a empresa de cibersegurança Sygnia num comunicado. A Cisco partilhou que o problema tem origem numa validação inadequada das ordens que são passados para comandos CLI de configuração específicos, que podem ser explorados por um adversário através da inclusão de entradas criadas como argumento de um comando CLI de configuração afetada. A vulnerabilidade permite que um utilizador com privilégios de administrador efetue comandos sem desencadear mensagens syslog do sistema, tornando assim possível ocultar de comandos Shell em aparelhos pirateados. Apesar das capacidades de execução de código da falha, a sua gravidade é menor pelo facto de que uma exploração bem-sucedida requerer que um atacante já esteja na posse de credenciais de administrador e tenha acesso a comandos de configuração específicos. Os equipamentos afetados pela CVE-2024-20399 são o MDS 9000 Series Multilayer Switches; Nexus 3000 Series Switches; Nexus 5500 Platform Switches; Nexus 5600 Platform Switches; Nexus 6000 Series Switches; Nexus 7000 Series Switches e Nexus 9000 Series Switches. O grupo de ciberespionagem Velvet Ant foi documentado pela primeira vez por uma companhia israelita de cibersegurança no mês passado, em conexão com o ciberataque que tinha como alvo uma organização anónima localizada na Ásia Oriental. “Os equipamentos de redes, especialmente os switches, muitas vezes não são monitorizados e os seus registos não são frequentemente encaminhados para um sistema de registo centralizado. Esta falta de monitorização cria desafios significativos na identificação e investigação de atividades maliciosas”, refere a Sygnia no comunicado |
Receba todas as novidades na sua caixa de correio!
THREATS
Nova técnica de phishing rouba credenciais bancárias em iOS e Android
COMPLIANCE
Estados Unidos lançam guia de boas práticas para event logging e threat detection
OPINION
Do Shadow IT ao Shadow AI: o perigo do uso não autorizado de IA nas empresas
NEWS
Auditoria ao FBI revela falhas de segurança na gestão de armazenamento
THREATS
Malware para Linux evitou deteção durante dois anos
THREATS
Vulnerabilidade zero-day expõe CCTV ao Mirai
THREATS
Nova operação de RaaS tem vindo a crescer nos últimos meses
THREATS
SonicWall corrige vulnerabilidade crítica
THREATS
Cisco corrige vulnerabilidades no NX-OS
THREATS
Vulnerabilidade zero-day no WPS Office utilizado para ciberespionagem
