Velvet Ant isimli Çin bağlantılı bir siber casusluk grubunun, Cisco NX-OS anahtarlarında kullanılan yazılımdaki sıfır günlük bir açığı kötü amaçlı yazılım dağıtmak için kullandığı gözlemlendi.
CVE-2024-20399 (CVSS puanı: 6.0) olarak izlenen güvenlik açığı, kimliği doğrulanmış yerel bir saldırganın, etkilenen bir cihazın temel işletim sisteminde kök olarak keyfi komutlar yürütmesine olanak tanıyan bir komut enjeksiyonu vakasıyla ilgilidir.
Siber güvenlik firması Sygnia, The Hacker News ile paylaştığı açıklamada, “Bu güvenlik açığından yararlanarak Velvet Ant, daha önce bilinmeyen özel bir kötü amaçlı yazılımı başarıyla çalıştırdı ve bu da tehdit grubunun tehlikeye atılmış Cisco Nexus cihazlarına uzaktan bağlanmasını, ek dosyalar yüklemesini ve cihazlarda kod yürütmesini sağladı” dedi.
Cisco, sorunun belirli yapılandırma CLI komutlarına iletilen argümanların yetersiz doğrulanmasından kaynaklandığını ve saldırganların etkilenen yapılandırma CLI komutunun argümanı olarak hazırlanmış girdiyi dahil ederek bu argümanı istismar edebileceğini belirtti.
Dahası, Yönetici ayrıcalıklarına sahip bir kullanıcının sistem syslog mesajlarını tetiklemeden komutları yürütmesini sağlar, böylece saldırıya uğramış cihazlarda kabuk komutlarının yürütülmesini gizlemek mümkün olur.
Kusurun kod yürütme yeteneklerine rağmen, daha düşük ciddiyet, başarılı bir istismarın bir saldırganın halihazırda yönetici kimlik bilgilerine sahip olmasını ve belirli yapılandırma komutlarına erişimini gerektirmesinden kaynaklanmaktadır. Aşağıdaki cihazlar CVE-2024-20399’dan etkilenmiştir –
- MDS 9000 Serisi Çok Katmanlı Anahtarlar
- Nexus 3000 Serisi Anahtarlar
- Nexus 5500 Platform Anahtarları
- Nexus 5600 Platform Anahtarları
- Nexus 6000 Serisi Anahtarlar
- Nexus 7000 Serisi Anahtarlar ve
- Bağımsız NX-OS modunda Nexus 9000 Serisi Anahtarlar
Velvet Ant, ilk olarak İsrailli siber güvenlik firması tarafından geçen ay, Doğu Asya’da bulunan ismi açıklanmayan bir kuruluşu hedef alan ve yaklaşık üç yıl boyunca eski F5 BIG-IP cihazları kullanarak gizlice müşteri ve finansal bilgilerini çalmayı amaçlayan bir siber saldırıyla bağlantılı olarak belgelenmişti.
“Ağ aygıtları, özellikle anahtarlar, genellikle izlenmiyor ve günlükleri sıklıkla merkezi bir günlük sistemine iletilmiyor,” dedi Sygnia. “Bu izleme eksikliği, kötü amaçlı etkinlikleri belirleme ve araştırmada önemli zorluklar yaratıyor.”
Gelişme, tehdit aktörlerinin D-Link DIR-859 Wi-Fi yönlendiricilerini etkileyen kritik bir güvenlik açığından (CVE-2024-0769, CVSS puanı: 9,8) – bilgi ifşasına yol açan bir yol geçiş sorunu – yararlanarak tüm kullanıcıların adları, parolaları, grupları ve açıklamaları gibi hesap bilgilerini toplamasıyla ortaya çıktı.
“Saldırının varyasyonları […] “Cihazdan hesap ayrıntılarının çıkarılmasını etkinleştirin,” dedi tehdit istihbarat firması GreyNoise. “Ürünün ömrü sona ermiştir, bu nedenle yama uygulanmayacaktır ve uzun vadeli istismar riskleri doğuracaktır. Bu güvenlik açığı kullanılarak birden fazla XML dosyası çağrılabilir.”