思科修补了 4 月份曝出的 NX-OS 零日漏洞,威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份,安装未知恶意软件。
网络安全公司 Sygnia 发现并向思科方面报告了安全漏洞事件,威胁攻击者利用安全漏洞进入受害者内部系统后,收集了大量的管理员级的凭据,一边可以随时访问思科 Nexus 交换机,部署了一个此前未出现过的定制化恶意软件。
此后,威胁攻击者利用这一”渠道“,便可以轻松的远程连接到受害者的设备,上传额外文件并执行恶意代码。
接到漏洞通知后,思科方面立刻做出回应,指出具有管理员权限的本地威胁攻击者可以利用安全漏洞(跟踪为 CVE-2024-20399),在易受攻击设备的底层操作系统上以 root 权限执行任意命令。
此外,思科相关负责人还指出,CVE-2024-20399 安全漏洞是对传递给特定配置 CLI 命令的参数验证不足造成的,使威胁攻击者能够通过将精心制作的输入作为受影响的配置 CLI 命令的参数,从而利用这一安全漏洞。
一旦威胁攻击者成功利用该安全漏洞后,就可以以 root 权限在底层操作系统上执行任意命令。受影响设备的列表包括多个运行易受攻击的 NX-OS 软件的交换机:
MDS 9000 系列多层交换机;
Nexus 3000 系列交换机;
Nexus 5500 平台交换机;
Nexus 5600 平台交换机;
Nexus 6000 系列交换机;
Nexus 7000 系列交换机;
独立 NX-OS 模式下的 Nexus 9000 系列交换机。
威胁攻击者还可以利用 CVE-2024-20399 安全漏洞,在不触发系统 syslog 消息的情况下执行命令,从而使其能够在被攻击的 NX-OS 设备上隐藏入侵迹象。
因此,思科方面强烈建议客户应当定期监控和更改 network-admin 和 vdc-admin 管理用户的凭证。
今年 4 月,思科曾警告称,自 2023 年 11 月以来,一个由国家支持的黑客组织(被追踪为 UAT4356 和 STORM-1849)一直在利用 Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 防火墙中的多个零日漏洞(CVE-2024-20353 和 CVE-2024-20359),针对全球政府网络开展名为 ArcaneDoor 的活动。
当时,斯克公司多次强调,安全研究人员还发现有证据表明,威胁攻击者至少从 2023 年 7 月起就针对这些零日安全漏洞测试和开发了漏洞利用程序。之后,威胁攻击者利用这些安全漏洞安装了未知的恶意软件,使其能够在被入侵的 ASA 和 FTD 设备上留下“后门”。
值得一提的是,思科指出尚未确定威胁攻击者用来入侵受害者网络的初始攻击载体。
上个月,Sygnia 称 Velvet Ant 在一次网络间谍活动中利用定制恶意软件攻击了 F5 BIG-IP 设备,在这次攻击活动中,威胁攻击者利用对受害者网络的持续访问,在长达三年的时间里“偷偷”窃取了大量的敏感客户和财务信息。