Aktívne zneužívaná zero-day zraniteľnosť v prepínačoch CISCO NEXUS a MDS
Spoločnosť CISCO vydala bezpečnostné aktualizácie na sieťové prepínače série NEXUS a MDS, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť umožňujúcu vykonanie škodlivého kódu. Napriek tomu, že zneužitie zraniteľnosti vyžaduje administrátorský prístup k zraniteľnému zariadeniu, CISCO a bezpečnostní výskumníci zo spoločnosti SYGNIA evidujú prípady jej úspešného zneužitia zo strany čínskej skupiny VELVET ANT.
Zraniteľné systémy:
- Prepínače série CISCO Nexus 3000
- Prepínače série CISCO Nexus 5500
- Prepínače série CISCO Nexus 5600
- Prepínače série CISCO Nexus 6000
- Prepínače série CISCO Nexus 7000
- Prepínače série CISCO Nexus 9000 v standalone NX-OS režime
- Prepínače série CISCO MDS 9000
Pozn. Presnú špecifikáciu zasiahnutých produktov môžete nájsť na stránke výrobcu.
Opis zraniteľnosti:
CVE-2024-20399 (CVSS skóre 6.0)
Zero-day zraniteľnosť operačného systému NX-OS spočíva v nedostatočnom overovaní argumentov v rámci príkazového riadka CLI. Lokálny autentifikovaný útočník s administrátorským prístupom by ju prostredníctvom injekcie príkazov mohol zneužiť na vykonanie škodlivého kódu s oprávneniami používateľa root. Zraniteľnosť je aktívne zneužívaná čínskou skupinou VELVET ANT na inštaláciu bližšie nešpecifikovaného malvéru, ktorý umožňuje vzdialený prístup, uploadovanie súborov a vykonanie škodlivého kódu.
Možné škody:
- Vykonanie škodlivého kódu
Odporúčania:
Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.
Zdroje:
https://thehackernews.com/2024/07/chinese-hackers-exploiting-cisco.html