Cisco NX-OS Yazılımının Komut Satırı Arayüzünde (CLI) kritik bir güvenlik açığı şu anda aktif olarak istismar ediliyor ve saldırganların etkilenen cihazlarda kök kullanıcı olarak keyfi komutlar yürütmesine olanak tanıyor.
CVE-2024-20399 olarak tanımlanan bu sıfırıncı gün açığı, özellikle Cisco’nun Nexus ve MDS serisi anahtarlarını kullanan kuruluşlar için ağ güvenliği açısından önemli bir tehdit oluşturuyor.
Güvenlik açığı, belirli yapılandırma CLI komutlarına geçirilen argümanların yetersiz doğrulanmasından kaynaklanmaktadır.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Yönetici kimlik bilgilerine sahip, kimliği doğrulanmış yerel bir saldırgan, etkilenen bir yapılandırma CLI komutu için bir argüman olarak hazırlanmış girdi sağlayarak bu kusurdan yararlanabilir.
Başarılı bir istismar, saldırgana altta yatan işletim sisteminde kök ayrıcalıkları vererek, keyfi komutların yürütülmesini mümkün kılar.
Etkilenen Ürünler
Aşağıdaki Cisco ürünleri, Cisco NX-OS Yazılımının güvenlik açığı bulunan bir sürümünü çalıştırıyorsa etkilenir:
- MDS 9000 Serisi Çok Katmanlı Anahtarlar
- Nexus 3000 Serisi Anahtarlar
- Nexus 5500 Platform Anahtarları
- Nexus 5600 Platform Anahtarları
- Nexus 6000 Serisi Anahtarlar
- Nexus 7000 Serisi Anahtarlar
- Bağımsız NX-OS modunda Nexus 9000 Serisi Anahtarlar
Özellikle, Nexus 3000 ve Nexus 9000 serisindeki belirli modeller, Cisco NX-OS Yazılımı 9.3(5) ve sonraki sürümlerini çalıştırıyorsa etkilenmez; ancak N3K-C3264C-E ve N9K-C92348GC-X modelleri gibi, 10.4.3 ve sonraki sürümlere daha fazla güncelleme gerektiren belirli istisnalar vardır.
Kullanım ve Azaltma
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açığının aktif olarak kullanıldığını Nisan 2024’te fark etti. Siber güvenlik firması Sygnia, bu saldırıları, açığı ele geçirilmiş cihazlara özel kötü amaçlı yazılımlar dağıtmak için kullanan Çin devlet destekli bir tehdit aktörü olan Velvet Ant’a bağladı.
Bu kötü amaçlı yazılım, sistem syslog mesajlarını tetiklemeden uzaktan bağlantı, dosya yükleme ve kötü amaçlı kod yürütmeye izin vererek saldırıyı gizler.
Cisco bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Ancak, mevcut bir geçici çözüm yok.
Yöneticilerin güncellemeleri derhal uygulamaları ve olası riskleri azaltmak amacıyla network-admin ve vdc-admin gibi yönetici kullanıcılarının kimlik bilgilerini düzenli olarak izlemeleri ve değiştirmeleri önemle rica olunur.
Cisco, maruziyeti belirlemek ve uygun yazılım güncellemelerini bulmak için Cisco Yazılım Denetleyicisi aracını sağlar. Bu araç, etkilenen yazılım sürümlerini ve en erken düzeltilmiş sürümleri belirlemeye yardımcı olur. Yöneticiler bu araca Cisco Yazılım Denetleyicisi sayfasından erişebilir.
Etkilenen Cisco ürünlerini kullanan kuruluşlar, gerekli yamaları uygulamaya öncelik vermeli ve ağlarını herhangi bir tehlike belirtisine karşı sürekli olarak izlemelidir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files