هشدار سیسکو در خصوص سوء استفاده از آسیب‌‌پذیری روز صفر NX-OS

سیسکو یک نقص امنیتی در سوئیچ‌های NX-OS خود شناسایی کرده است که برای ارائه بدافزار با سطح دسترسی root بر روی این دستگاه‌ها مورد سوء استفاده قرار می‌گیرد. این آسیب‌‌پذیری روز صفر NX-OS (با شناسه CVE-2024-20399)، مربوط به یک مورد تزریق فرمان می‌باشد که به مهاجم لوکال احراز هویت شده اجازه می‌دهد تا دستورات دلخواه را به ‌عنوان کاربر root در سیستم عامل سوئیچ اجرا کند.

شرکت امنیت سایبری Sygnia، این حملات را به Velvet Ant، یک گروه سایبری تحت حمایت چین نسبت داده است. گروه Velvet Ant با بهره‌برداری موفق از این آسیب‌پذیری، توانسته است یک بدافزار سفارشی جدید را بر روی این سوئیچ‌ها مستقر و اجرا نماید.

این شرایط به مهاجم اجازه می‌دهد تا از راه دور به دستگاه‌های Nexus سیسکو آلوده به بدافزار متصل شود، فایل‌های اضافی را آپلود و کد را بر روی دستگاه‌ اجرا کند.

این باگ ناشی از اعتبار سنجی ناکافی آرگومان‌هایی است که به دستورات CLI پیکربندی خاصی ارسال می‌شوند. این نقص امنیتی می‌تواند توسط مهاجم با گنجاندن ورودی دستکاری شده به عنوان آرگومان یک فرمان CLI پیکربندی آسیب پذیر، مورد سوء استفاده قرار گیرد.

آسیب‌‌پذیری روز صفر NX-OS، کاربر با سطح دسترسی Administrator را قادر می‌سازد تا دستورات را بدون راه‌اندازی پیام‌های syslog سیستم اجرا کند. در نتیجه، این امکان برای هکرها فراهم می‌شود که نشانه‌های نفوذ و اجرای دستورات shell را در دستگاه‌های هک شده پنهان کنند.

سوء استفاده موفق از این آسیب‌پذیری، مستلزم آن است که مهاجم از قبل، داده‌های لاگین کاربر admin را در اختیار داشته و به دستورات پیکربندی خاص نیز دسترسی داشته باشد. دستگاه‌های زیر تحت تأثیر CVE-2024-20399 قرار دارند:

• سوئیچ‌های چند لایه سری MDS 9000
• سوئیچ‌های سری Nexus 3000
• سوئیچ‌های پلتفرم Nexus 5500
• سوئیچ‌های پلتفرم Nexus 5600
• سوئیچ‌های سری Nexus 6000
• سوئیچ‌های سری Nexus 7000
• سوئیچ‌های سری Nexus 9000 که در حالت NX-OS مستقل کار می‌کنند.

Velvet Ant اولین بار توسط شرکت Sygnia در ماه ژوئن در ارتباط با یک حمله سایبری مستند شد. این حمله، سازمان ناشناسی واقع در شرق آسیا را به مدت سه سال با استفاده از دستگاه‌های قدیمی F5 BIG-IP به منظور سرقت مخفیانه اطلاعات مشتری و اطلاعات مالی مورد هدف قرار داده بود.

تجهیزات شبکه به ویژه سوئیچ‌ها، اغلب نظارت و مانیتور نمی‌شوند و لاگ‌های آنها در یک سیستم مرکزی ذخیره نمی‌گردد. این عدم نظارت، چالش‌های مهمی را در شناسایی و بررسی فعالیت‌های مخرب ایجاد می‌کند.

سیسکو به مشتریان خود توصیه کرده است که به طور مرتب داده‌های لاگین کاربر admin شبکه و vdc را کنترل کرده و تغییر دهند. adminها می‌توانند از صفحه Software Checker سیسکو برای تعیین اینکه آیا دستگاه‌های موجود در شبکه‌ آنها دارای آسیب‌پذیری CVE-2024-20399 می‌باشد یا خیر، استفاده کنند.

سیسکو، بیست و چهارم آوریل ۲۰۲۴ نیز گزارشی را در خصوص دو آسیب‌پذیری روز صفر (CVE-2024-20353 و CVE-2024-20359) در فایروال‌های ASA و FTD این شرکت منتشر کرد.

مهاجمان سایبری همچنین اخیرا در یک حمله نسبتا مشابه از یک آسیب‌پذیری بحرانی در روترهای  D-Link DIR-859 سوء استفاده کرده‌اند. این آسیب‌پذیری (CVE-2024-0769)، یک نقص پیمایش مسیر است که منجر به افشای اطلاعاتی مانند پسوردها می‌شود.

پشتیبانی از مدل روتر D-Link DIR-859 به پایان عمر خود رسیده است و دیگر هیچگونه به‌روزرسانی از جانب فروشنده منتشر نخواهد شد. از این رو، دارندگان این روترها می‌بایست در اسرع وقت، دستگاه خود را با مدل جدیدتری که پشتیبانی‌ می‌شود، جایگزین کنند.

منابع