سیسکو یک نقص امنیتی در سوئیچهای NX-OS خود شناسایی کرده است که برای ارائه بدافزار با سطح دسترسی root بر روی این دستگاهها مورد سوء استفاده قرار میگیرد. این آسیبپذیری روز صفر NX-OS (با شناسه CVE-2024-20399)، مربوط به یک مورد تزریق فرمان میباشد که به مهاجم لوکال احراز هویت شده اجازه میدهد تا دستورات دلخواه را به عنوان کاربر root در سیستم عامل سوئیچ اجرا کند.
شرکت امنیت سایبری Sygnia، این حملات را به Velvet Ant، یک گروه سایبری تحت حمایت چین نسبت داده است. گروه Velvet Ant با بهرهبرداری موفق از این آسیبپذیری، توانسته است یک بدافزار سفارشی جدید را بر روی این سوئیچها مستقر و اجرا نماید.
این شرایط به مهاجم اجازه میدهد تا از راه دور به دستگاههای Nexus سیسکو آلوده به بدافزار متصل شود، فایلهای اضافی را آپلود و کد را بر روی دستگاه اجرا کند.
این باگ ناشی از اعتبار سنجی ناکافی آرگومانهایی است که به دستورات CLI پیکربندی خاصی ارسال میشوند. این نقص امنیتی میتواند توسط مهاجم با گنجاندن ورودی دستکاری شده به عنوان آرگومان یک فرمان CLI پیکربندی آسیب پذیر، مورد سوء استفاده قرار گیرد.
آسیبپذیری روز صفر NX-OS، کاربر با سطح دسترسی Administrator را قادر میسازد تا دستورات را بدون راهاندازی پیامهای syslog سیستم اجرا کند. در نتیجه، این امکان برای هکرها فراهم میشود که نشانههای نفوذ و اجرای دستورات shell را در دستگاههای هک شده پنهان کنند.
سوء استفاده موفق از این آسیبپذیری، مستلزم آن است که مهاجم از قبل، دادههای لاگین کاربر admin را در اختیار داشته و به دستورات پیکربندی خاص نیز دسترسی داشته باشد. دستگاههای زیر تحت تأثیر CVE-2024-20399 قرار دارند:
- سوئیچهای چند لایه سری MDS 9000
- سوئیچهای سری Nexus 3000
- سوئیچهای پلتفرم Nexus 5500
- سوئیچهای پلتفرم Nexus 5600
- سوئیچهای سری Nexus 6000
- سوئیچهای سری Nexus 7000
- سوئیچهای سری Nexus 9000 که در حالت NX-OS مستقل کار میکنند.
Velvet Ant اولین بار توسط شرکت Sygnia در ماه ژوئن در ارتباط با یک حمله سایبری مستند شد. این حمله، سازمان ناشناسی واقع در شرق آسیا را به مدت سه سال با استفاده از دستگاههای قدیمی F5 BIG-IP به منظور سرقت مخفیانه اطلاعات مشتری و اطلاعات مالی مورد هدف قرار داده بود.
تجهیزات شبکه به ویژه سوئیچها، اغلب نظارت و مانیتور نمیشوند و لاگهای آنها در یک سیستم مرکزی ذخیره نمیگردد. این عدم نظارت، چالشهای مهمی را در شناسایی و بررسی فعالیتهای مخرب ایجاد میکند.
سیسکو به مشتریان خود توصیه کرده است که به طور مرتب دادههای لاگین کاربر admin شبکه و vdc را کنترل کرده و تغییر دهند. adminها میتوانند از صفحه Software Checker سیسکو برای تعیین اینکه آیا دستگاههای موجود در شبکه آنها دارای آسیبپذیری CVE-2024-20399 میباشد یا خیر، استفاده کنند.
سیسکو، بیست و چهارم آوریل ۲۰۲۴ نیز گزارشی را در خصوص دو آسیبپذیری روز صفر (CVE-2024-20353 و CVE-2024-20359) در فایروالهای ASA و FTD این شرکت منتشر کرد.
مهاجمان سایبری همچنین اخیرا در یک حمله نسبتا مشابه از یک آسیبپذیری بحرانی در روترهای D-Link DIR-859 سوء استفاده کردهاند. این آسیبپذیری (CVE-2024-0769)، یک نقص پیمایش مسیر است که منجر به افشای اطلاعاتی مانند پسوردها میشود.
پشتیبانی از مدل روتر D-Link DIR-859 به پایان عمر خود رسیده است و دیگر هیچگونه بهروزرسانی از جانب فروشنده منتشر نخواهد شد. از این رو، دارندگان این روترها میبایست در اسرع وقت، دستگاه خود را با مدل جدیدتری که پشتیبانی میشود، جایگزین کنند.
