Velvet Ant olarak bilinen Çin bağlantılı gelişmiş bir siber casusluk grubunun, Cisco NX-OS Yazılımındaki sıfır günlük bir güvenlik açığını kullanarak ağ anahtarlarına özel kötü amaçlı yazılımlar dağıttığı keşfedildi.
Siber güvenlik firması Sygnia tarafından yapılan adli soruşturma sırasında CVE-2024-20399 olarak tespit edilen güvenlik açığı, derhal Cisco’ya bildirildi.
CVSS puanı 6.0 olan bu kusur, yönetici ayrıcalıklarına sahip kimliği doğrulanmış bir yerel saldırganın, etkilenen cihazların altta yatan işletim sisteminde kök olarak keyfi komutlar yürütmesine olanak tanır. Cisco, belirli yapılandırma CLI komutlarına geçirilen argümanların yetersiz doğrulanmasına bağlayarak bu açığı kabul etti.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Velvet Ant’in CVE-2024-20399’u istismar etmesi, grubun daha önce bilinmeyen özel kötü amaçlı yazılımları tehlikeye atılmış Cisco Nexus aygıtlarında çalıştırmasını sağladı. Bu kötü amaçlı yazılım, aygıtlara uzaktan bağlantılar sağlayarak saldırganların ek dosyalar yüklemesine ve daha fazla kod yürütmesine olanak tanıdı.
Sygnia raporunda, “Etkilenen sistemin muhasebe kayıtlarını inceleyen Sygnia, geçerli yönetici kimlik bilgileri kullanılarak yürütülen birkaç şüpheli Base64 kodlu komut keşfetti” ifadeleri yer aldı.
Güvenlik açığı, MDS 9000, Nexus 3000, 5500, 5600, 6000, 7000 ve 9000 dahil olmak üzere birden fazla Cisco anahtar serisini etkiliyor. Cisco, sorunu gidermek için yazılım güncellemeleri yayınladı ve müşterilerinin bu yamaları derhal uygulamasını önemle tavsiye ediyor.
VELVETSHELL kötü amaçlı yazılımı, iki açık kaynaklı aracın öğelerini birleştiriyor: Unix arka kapısı olan TinyShell ve proxy aracı olan 3proxy.
VELVETSHELL kötü amaçlı yazılımı, keyfi komutlar yürütmek, dosya indirmek ve yüklemek ve ağ trafiğine proxy tünelleri oluşturmak gibi çeşitli yetenekler sağlar.
Sygnia’nın yaptığı araştırmada Velvet Ant’in yaklaşık üç yıldır faaliyet gösterdiği, müşteri ve finansal bilgileri gizlice çalmak için eski F5 BIG-IP cihazlarını kullanmaya devam ettiği ortaya çıktı.
Grubun karmaşık yaklaşımı, ağdaki güvenlik açıklarından faydalanmayı ve uzun vadeli erişim için yeterince korunmayan ağ cihazlarını hedef almayı içeriyor.
Uzmanlar, özellikle anahtarlar olmak üzere ağ cihazlarının genellikle yeterince izlenmediğinin ve günlüklerin nadiren merkezi günlük sistemlerine iletildiğinin altını çiziyor. Bu denetim eksikliği, kötü amaçlı faaliyetleri tespit etme ve araştırmada önemli zorluklar yaratıyor.
Güvenlik açığı, cihaza ağ erişimi ve yönetici kimlik bilgilerine sahip olmayı gerektirerek genel riski azaltırken, karmaşık tehdit aktörlerinin kritik altyapıyı hedef almaya devam ettiğini gösteriyor.
Bu tehdide yanıt olarak, kuruluşlara çeşitli azaltma stratejileri uygulamaları tavsiye edilmektedir:
- Cisco tarafından sağlanan en son yazılım güncellemelerini uygulayın.
- Ağ cihazlarınız için sağlam izleme sistemleri uygulayın.
- Yönetici kimlik bilgilerinizi düzenli olarak inceleyin ve güncelleyin.
- Yetkisiz erişimi önlemek için en iyi güvenlik uygulamalarını benimseyin.
Siber tehditler gelişmeye devam ettikçe, kuruluşlar siber güvenliğe yönelik yaklaşımlarında proaktif kalmalı, anahtarlar ve diğer ağ cihazları da dahil olmak üzere ağ altyapılarının tüm yönlerinin yeterli şekilde korunmasını ve izlenmesini sağlamalıdır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces