Cisco Sygnia araştırmacılarına göre, Çin destekli Velvet Ant adlı tehdit grubu tarafından daha önce istismar edilen, veri merkezlerindeki anahtarları yönetmek için kullanılan bir ağ yönetim platformundaki komut satırı enjeksiyon açığını kapattı.
Böcek (CVE-2024-20399, CVSS 6.0) kimliği doğrulanmış saldırganların etkilenen bir cihazın altta yatan işletim sisteminde kök olarak keyfi komut yürütmesine izin verebilir. Cisco NX-OS Yazılımının komut satırı arayüzünde (CLI) bulunur ve bu arayüz, veri merkezi operasyon yöneticilerinin çekirdeklerinde Linux çekirdeği kullanan NX-OS etkin cihazlarda sorun giderme ve bakım işlemleri gerçekleştirmesine olanak tanır.
“Bu güvenlik açığı, belirli yapılandırma CLI komutlarına iletilen argümanların yetersiz doğrulanmasından kaynaklanmaktadır” ifadesine göre Cisco’nun danışmanlığı kusur hakkında. “Bir saldırgan, etkilenen bir yapılandırma CLI komutunun argümanı olarak hazırlanmış girdiyi dahil ederek bu güvenlik açığından yararlanabilir.”
Cisco’ya göre, kusur Cisco Nexus serisi anahtarlar ve diğer bazı ürünler için desteklenen tüm Cisco NX-OS Yazılım sürümlerinde bulunan bir bash-shell özelliğini içeriyor. Bir cihaz bash-shell özelliğini desteklemeyen bir Cisco NX-OS Yazılım sürümü çalıştırıyorsa, yönetici ayrıcalıklarına sahip bir kullanıcı bu güvenlik açığını altta yatan işletim sisteminde keyfi komutlar yürütmek için kullanabilir. Bir cihaz bash-shell özelliğini destekleyen bir Cisco NX-OS Yazılım sürümü çalıştırıyorsa, bir yönetici kullanıcı özelliği kullanarak altta yatan işletim sistemine doğrudan erişebilir.
Bu kusur şu Cisco cihazlarını etkiliyor: MDS 9000 Serisi Çok Katmanlı Anahtarlar, Nexus 3000 Serisi Anahtarlar, Nexus 5500 Platform Anahtarları, Nexus 5600 Platform Anahtarları, Nexus 6000 Serisi Anahtarlar, Nexus 7000 Serisi Anahtarlar ve bağımsız NX-OS modundaki Nexus 9000 Serisi Anahtarlar. Cisco, etkilenen cihazlardaki kusuru düzelten güncellemeler yayınladığını söyledi.
Bir saldırganın CVE-2024-20399 açığını istismar edebilmesi için yönetici kimlik bilgilerine sahip olması gerektiğinden, bu açık yalnızca orta riskli olarak derecelendirilmiştir; ancak yine de halihazırda istismar ediliyor, dolayısıyla açığın yamalanması öncelikli olmalıdır.
CVE-2024-20399’da Kadife Karınca Sürüleri
Gerçekten de, 6.0 CVSS derecesi, Velvet Ant’in, Cisco Nexus anahtarının temel Linux işletim sisteminde geçerli yönetici kimlik bilgilerini kullanarak Anahtar yönetim konsolunda keyfi komutlar yürütmek için bu açığı kullanmasını engellemedi. Sygnia ekibinin blog yazısı.
NX-OS, bir Linux çekirdeğine dayanmaktadır; ancak, gönderiye göre, altta yatan Linux ortamını soyutlar ve NX-OS CLI’yi kullanarak kendi komut setini sağlar. Bu nedenle, Sygnia’ya göre, “Switch yönetim konsolundan altta yatan Linux işletim sisteminde komutları yürütmek için, bir saldırganın NX-OS CLI bağlamından kaçmak için bir ‘jailbreak’ türü güvenlik açığına ihtiyacı olacaktır” ve CVE-2024-20399 bunu sağlar.
Velvet Ant’in bu kusuru istismar etmesi — bir parçası çok yıllık kampanya Sygnia tarafından ortaya çıkarılan ve Haziran ayında Dark Reading tarafından bildirilen saldırı, “tehdit grubunun tehlikeye atılmış Cisco Nexus cihazlarına uzaktan bağlanmasına, ek dosyalar yüklemesine ve cihazlarda kod çalıştırmasına olanak tanıyan, daha önce bilinmeyen özel bir kötü amaçlı yazılımın çalıştırılmasına yol açtı” diye yazdı Sygnia ekibi.
Cisco kusurlarından faydalanmak ulus-devlet siber saldırganlarının en sevdiği eğlencedir: Örneğin, Gizemli Kapı Nisan ayında tespit edilen bir saldırı, küresel bir siber casusluk kampanyası kapsamında hükümet ağlarının çevresini hedef almak için sıfırıncı gün açıklarından yararlanarak iki özel yapım arka kapıyı açmak üzere Cisco cihazlarını da hedef aldı.
Şimdi Yama Yapın ve Cisco Güvenlik Açığı Riskini Azaltın
Cisco Nexus anahtarları, özellikle veri merkezleri olmak üzere kurumsal ortamlarda yaygındır ve genellikle İnternet’e maruz kalmazlar. Ancak geçerlilik kazanıyor yönetici düzeyinde kimlik bilgileri Sygnia’ya göre, bu cihazlara ağ erişimi, Velvet Ant gibi gelişmiş kalıcı tehditler (APT’ler) için cazip bir öneridir. Bu tehditler, siber saldırılar sırasında kalıcılık elde etmek ve komutları yürütmek için korumasız anahtarları ve diğer ağ cihazlarını hedef alma eğilimindedir.
Bu, etkilenen kuruluşların bir ağda bulunan herhangi bir savunmasız cihazı yamalamak için Cisco’nun talimatlarını izlemesi gerektiği anlamına gelir. Kuruluşlar Cisco’nun Yazılım Denetleyicisi çevrelerinin savunmasız olup olmadığını görmek için.
Sygnia ekibi, “Tartışılan güvenlik açığından yararlanmak için önemli ön koşullar olmasına rağmen, bu olay, gelişmiş tehdit gruplarının, genellikle yeterince korunmayan ve izlenmeyen ağ cihazlarını, kalıcı ağ erişimini sürdürmek için kullanma eğilimini gösteriyor” diye yazdı.
Ağ Ortamlarını Güçlendirin
Sygnia’ya göre, olay ayrıca “bu tür tehditlere karşı bir önlem olarak en iyi güvenlik uygulamalarına uymanın kritik önemini” vurguluyor ve kuruluşların ortamlarını çeşitli şekillerde güçlendirmelerini öneriyor.
Bu öneriler arasında, bir ağ ekipmanına yönetici erişiminin kısıtlanması da yer almaktadır. ayrıcalıklı erişim yönetimi (PAM) çözüm veya özel, güçlendirilmiş, atlama sunucusu çok faktörlü kimlik doğrulama (MFA) Uygulanır. Kuruluşlar ayrıca, özellikle çok sayıda anahtarın bulunduğu ortamlarda güvenliği kolaylaştırmak ve geliştirmek için kullanıcılar için merkezi kimlik doğrulama, yetkilendirme ve muhasebe yönetimini kullanabilir.
Ağ yöneticileri ayrıca, dış tehditler tarafından istismar edilme veya kötü niyetli kişilerle iletişim kurmak için kullanılma riskini azaltmak için anahtarların İnternet’e giden bağlantılar başlatmasını kısıtlamalıdır.
Son olarak, Sygnia’ya göre, genel bir kural olarak, kuruluşlar güçlü bir parola politikası uygulamalı ve parolaların yanlış ellere geçmemesi için iyi bir parola hijyeni sağlamalı ve ayrıca düzenli yama programları Cihazları güncellemek ve savunmasız kalmalarını önlemek.
En son haberleri kaçırmayın Karanlık Okuma Gizli podcast, Siber suçlularla nasıl etkileşime girdikleri hakkında iki fidye yazılımı müzakerecisi ile konuştuğumuz yer: hayatların tehlikede olduğu bir hastane NICU’sunda operasyonları yeniden canlandırmak için nasıl bir anlaşma yaptıkları ve saldırganların kendilerinin “biraz dindar” olduğu bir kiliseye nasıl yardım ettikleri de dahil. Şimdi dinle!