freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

可获root权限,思科NX-OS 零日漏洞修复已发布
2024-07-02 13:16:25
所属地 上海

思科修补了 4 月份曝出的 NX-OS 零日漏洞,威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份,安装未知恶意软件。

1719905418_6683ac8ad8da8f70949ff.png!small

网络安全公司 Sygnia 发现并向思科方面报告了安全漏洞事件,威胁攻击者利用安全漏洞进入受害者内部系统后,收集了大量的管理员级的凭据,一边可以随时访问思科 Nexus 交换机,部署了一个此前未出现过的定制化恶意软件。

此后,威胁攻击者利用这一”渠道“,便可以轻松的远程连接到受害者的设备,上传额外文件并执行恶意代码。

接到漏洞通知后,思科方面立刻做出回应,指出具有管理员权限的本地威胁攻击者可以利用安全漏洞(跟踪为 CVE-2024-20399),在易受攻击设备的底层操作系统上以 root 权限执行任意命令。

此外,思科相关负责人还指出,CVE-2024-20399 安全漏洞是对传递给特定配置 CLI 命令的参数验证不足造成的,使威胁攻击者能够通过将精心制作的输入作为受影响的配置 CLI 命令的参数,从而利用这一安全漏洞。

一旦威胁攻击者成功利用该安全漏洞后,就可以以 root 权限在底层操作系统上执行任意命令。受影响设备的列表包括多个运行易受攻击的 NX-OS 软件的交换机:

MDS 9000 系列多层交换机;
Nexus 3000 系列交换机;
Nexus 5500 平台交换机;
Nexus 5600 平台交换机;
Nexus 6000 系列交换机;
Nexus 7000 系列交换机;
独立 NX-OS 模式下的 Nexus 9000 系列交换机。

威胁攻击者还可以利用 CVE-2024-20399 安全漏洞,在不触发系统 syslog 消息的情况下执行命令,从而使其能够在被攻击的 NX-OS 设备上隐藏入侵迹象。

因此,思科方面强烈建议客户应当定期监控和更改 network-admin 和 vdc-admin 管理用户的凭证。

今年 4 月,思科曾警告称,自 2023 年 11 月以来,一个由国家支持的黑客组织(被追踪为 UAT4356 和 STORM-1849)一直在利用 Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 防火墙中的多个零日漏洞(CVE-2024-20353 和 CVE-2024-20359),针对全球政府网络开展名为 ArcaneDoor 的活动。

当时,斯克公司多次强调,安全研究人员还发现有证据表明,威胁攻击者至少从 2023 年 7 月起就针对这些零日安全漏洞测试和开发了漏洞利用程序。之后,威胁攻击者利用这些安全漏洞安装了未知的恶意软件,使其能够在被入侵的 ASA 和 FTD 设备上留下“后门”。

值得一提的是,思科指出尚未确定威胁攻击者用来入侵受害者网络的初始攻击载体。

上个月,Sygnia 称 Velvet Ant 在一次网络间谍活动中利用定制恶意软件攻击了 F5 BIG-IP 设备,在这次攻击活动中,威胁攻击者利用对受害者网络的持续访问,在长达三年的时间里“偷偷”窃取了大量的敏感客户和财务信息。

# 安全漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者