Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
Cisco ve Sygnia, Çin-Nexus Korsanları Velvet Ant’in Nisan Ayında Bu Hatayı Kullandığını Söyledi
Rashmi Ramesh (raşmiramesh_) •
2 Temmuz 2024
Cisco, aylar önce keşfedilen ve China-nexus’lu bir saldırganın, saldırıya uğramış cihazlarda root yetkisiyle keyfi komutlar çalıştırmasına olanak tanıyan sıfır günlük bir güvenlik açığını pazartesi günü kapattı.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Velvet Ant olarak adlandırılan tehdit grubu, Cisco’nun anahtarlarda kullanılan NX-OS yazılımına uzaktan bağlandı ve kötü amaçlı kod çalıştırdı. Ağ devi, bir danışma yazısında keşfi siber güvenlik firması Sygnia’ya atfediyor.
CVE-2024-20399 olarak izlenen komut enjeksiyonu güvenlik açığı, kimliği doğrulanmış yerel bir saldırganın kök olarak keyfi komutları yürütmesine olanak tanıyor.
Ağ aygıtları, özellikle anahtarlar, genellikle izlenmiyor ve günlükleri sıklıkla merkezi bir günlük sistemine iletilmiyor. Sygnia, bunun kötü amaçlı etkinlikleri belirleme ve araştırmada zaten “önemli zorluklar” yarattığını söyledi. Ancak günlük incelemesinin eksikliği bu kusurda önemli olmayabilir. Bu güvenlik açığı, kullanıcıya sistem syslog mesajlarını tetiklemeden komutları yürütme yetkisi vererek kabuk komutlarının yürütülmesini gizlemeyi kolaylaştırıyor.
Güvenlik açığı, kod yürütme yeteneklerine ve veri merkezleri gibi kurumsal ortamlarda Cisco Nexus anahtarlarının yaygın kullanımına rağmen CVSS ölçeğinde 6 olarak derecelendirilmiştir. Puan düşüktür çünkü çoğu Nexus anahtarı doğrudan internete maruz kalmaz, yani saldırganın istismarın başarılı olması için yönetici kimlik bilgilerine ve belirli komut yapılandırmalarına sahip olarak ilk erişime sahip olması gerekir.
Sygnia, güvenlik açığından yararlanmak için gerekli ön koşullara rağmen olayın “karmaşık tehdit gruplarının, genellikle yeterince korunmayan ve izlenmeyen ağ cihazlarını, kalıcı ağ erişimini sürdürmek için kullanma eğilimini gösterdiğini” söyledi.
Potansiyel olarak devlet destekli tehdit aktörü, geçen ay, ismi açıklanmayan bir Doğu Asya şirketinden müşteri ve finansal verileri çalmak amacıyla özel kötü amaçlı yazılımları çalıştırmak için eski F5 BIG-IP cihazlarını kullandı ve kampanya üç yıl boyunca tespit edilemedi.
Cisco, yeni güvenlik açığı için şirketlere önleyici bir önlem olarak yönetici kimlik bilgilerini değiştirmelerini ve etkinliği izlemelerini öneriyor. Yöneticiler, cihazlarının maruziyetini yazılım denetleyicisi sayfasından kontrol edebilirler.