Dalış Özeti:
- Pazartesi günü araştırmacılar, Çin ile bağlantıları olduğu düşünülen bir tehdit aktörünün Cisco NX-OS yazılımındaki sıfır günlük bir güvenlik açığını aktif olarak kullandığını söyledi.
- Velvet Ant olarak adlandırılan şüpheli aktör, şu şekilde tanımlanan bir komut enjeksiyonu güvenlik açığından yararlanıyor: CVE-2024-20399Sygnia araştırmacılarına göre, Cisco Nexus cihazlarının geniş bir yelpazesini etkileyen bir güvenlik açığıdır. Güvenlik açığının CVSS puanı 6.0’dır, ancak araştırmacılar tehdit aktörünün son derece karmaşıktır ve özel kötü amaçlı yazılımlar dağıtmaktadırSygnia.
- Cisco Pazartesi günü bazı NX-OS donanım platformları için yazılım güncellemeleri yayınlandıve hazır olduklarında ek düzeltmeler yayınlamaya devam edecekler. Şirket, kusuru gidermek için başka bir geçici çözüm olmadığını söyledi.
Dalış İçgörüsü:
Sygnia, bu istismarı Velvet Ant’in casusluk çalışmalarına yönelik daha geniş çaplı bir soruşturmanın parçası olarak keşfetti ve tehdit aktörünün üç yıldır bir kurbanın bilgisayar ağında faaliyet gösterdiğini tespit etti.
Araştırmacılar, önceki soruşturma sırasında şüpheli devlet destekli aktörün miras üzerinde ısrarcı olduğunu keşfettiler İnternete maruz kalan F5 BIG-IP cihazı.
Sygnia, bu yılın başlarında Cisco Nexus cihazlarına yönelik tehdit aktivitesini keşfetti ve bunu şirkete bildirdi.
Sygnia’da olay müdahale direktörü Amnon Kushnir’e göre Cisco Nexus cihazları genellikle veri merkezleri için omurga anahtarları olarak kullanılıyor. Bilgisayar korsanının Linux tabanlı işletim sistemine kök erişimi elde etme ve özel kötü amaçlı yazılım dağıtma yeteneği, tehdit etkinliğini özellikle zorlu hale getiriyor.
Sygnia araştırmacılarına göre, ağ aygıtları ve özellikle anahtarlar genellikle izlenmiyor ve günlükler genellikle merkezi bir günlük sistemine gönderilmiyor. Özel kötü amaçlı yazılım, bilgisayar korsanının “kod yürütme ve trafik tünellemesini etkinleştirmesine” olanak tanıyordu, bu nedenle kötü amaçlı yazılım dağıtıldıktan sonra, bilgisayar korsanlarının ağa erişmek için artık oturum açmaları gerekmiyordu.
Siber Güvenlik ve Altyapı Güvenlik Ajansı, hatayı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi. Bu güvenlik açığı, bir saldırganın root ayrıcalıklarıyla keyfi komutlar yürütmesine izin verebilir. Ancak saldırganların güvenlik açığını istismar edebilmeleri için yönetici kimlik bilgilerine sahip olmaları gerekir.