Cisco, Nisan ayındaki saldırılarda istismar edilen bir NX-OS sıfır günlük açığını yamalayarak, daha önce bilinmeyen kötü amaçlı yazılımların güvenlik açığı bulunan anahtarlara root olarak yüklenmesini sağladı.
Olayları Cisco’ya bildiren siber güvenlik firması Sygnia, saldırıları Velvet Ant olarak takip ettiği Çin devleti destekli bir tehdit aktörüne bağladı.
Sygnia Olay Müdahale Direktörü Amnon Kushnir, BleepingComputer’a yaptığı açıklamada, “Sygnia, Velvet Ant olarak takip ettiğimiz Çin bağlantılı siber casusluk grubuna yönelik daha geniş bir adli soruşturma sırasında bu istismarı tespit etti.” dedi.
“Tehdit aktörleri, Cisco Nexus anahtarlarına erişim sağlamak ve güvenliği ihlal edilmiş cihazlara uzaktan bağlanmalarına, ek dosyalar yüklemelerine ve kötü amaçlı kod yürütmelerine olanak tanıyan, önceden bilinmeyen özel bir kötü amaçlı yazılım dağıtmak için yönetici düzeyinde kimlik bilgileri topladı.”
Cisco, CVE-2024-20399 olarak izlenen bu güvenlik açığının, Yönetici ayrıcalıklarına sahip yerel saldırganlar tarafından, güvenlik açığı bulunan cihazların altta yatan işletim sistemlerinde kök izinleriyle keyfi komutlar yürütmek için kullanılabileceğini söylüyor.
Cisco şöyle açıklıyor: “Bu güvenlik açığı, belirli yapılandırma CLI komutlarına iletilen bağımsız değişkenlerin yetersiz doğrulanmasından kaynaklanıyor. Bir saldırgan, etkilenen yapılandırma CLI komutunun bağımsız değişkeni olarak hazırlanmış girişi dahil ederek bu güvenlik açığından yararlanabilir.”
“Başarılı bir istismar, saldırganın temel işletim sistemi üzerinde kök ayrıcalıklarıyla keyfi komutlar yürütmesine olanak tanıyabilir.”
Etkilenen cihazların listesi, güvenlik açığı bulunan NX-OS yazılımını çalıştıran birden fazla anahtarı içeriyor:
- MDS 9000 Serisi Çok Katmanlı Anahtarlar
- Nexus 3000 Serisi Anahtarlar
- Nexus 5500 Platform Anahtarları
- Nexus 5600 Platform Anahtarları
- Nexus 6000 Serisi Anahtarlar
- Nexus 7000 Serisi Anahtarlar
- Bağımsız NX-OS modunda Nexus 9000 Serisi Anahtarlar
Güvenlik açığı aynı zamanda saldırganların sistem sistem günlüğü mesajlarını tetiklemeden komutları yürütmesine ve böylece saldırıya uğramış NX-OS cihazlarındaki güvenlik ihlali işaretlerini gizlemelerine olanak tanıyor.
Cisco, müşterilere ağ yöneticisi ve vdc-admin yönetici kullanıcılarının kimlik bilgilerini düzenli olarak izlemelerini ve değiştirmelerini önerir.
Yöneticiler, ağlarındaki cihazların CVE-2024-20399 güvenlik açığını hedefleyen saldırılara maruz kalıp kalmadığını belirlemek için Cisco Yazılım Denetleyicisi sayfasını kullanabilir.
Cisco, Nisan ayında devlet destekli bir bilgisayar korsanı grubunun (UAT4356 ve STORM-1849 olarak izleniyor) Kasım 2023’ten bu yana ArcaneDoor adlı, dünya çapında hükümet ağlarını hedef alan bir kampanya kapsamında Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) güvenlik duvarlarındaki birden fazla sıfır gün açığını (CVE-2024-20353 ve CVE-2024-20359) istismar ettiğini bildirmişti.
O dönemde şirket, bilgisayar korsanlarının en az Temmuz 2023’ten bu yana sıfır gün kusurlarını hedef alan açıkları test edip geliştirdiğine dair kanıtlar bulduğunu da ekledi.
Güvenlik açıklarını istismar ederek, daha önce bilinmeyen kötü amaçlı yazılımları yüklediler ve bu da tehlikeye atılmış ASA ve FTD cihazlarında kalıcılıklarını sürdürmelerini sağladı. Ancak Cisco, saldırganların kurbanların ağlarına girmek için kullandıkları ilk saldırı vektörünü henüz tespit etmediğini söyledi.
Geçtiğimiz ay Sygnia, Velvet Ant’in siber casusluk kampanyasında özel kötü amaçlı yazılımla F5 BIG-IP cihazlarını hedef aldığını söyledi. Bu kampanyada, tespit edilmekten kaçınırken üç yıl boyunca hassas müşteri ve finansal bilgileri gizlice çalmak için kurbanlarının ağlarına sürekli erişim kullandılar.