Descubierta Vulnerabilidad de Día Cero en Cisco NX-OS Explotada por Grupo de Amenazas Chino

Cisco ha parcheado una vulnerabilidad de día cero en NX-OS, explotada en ataques recientes para instalar malware personalizado en switches vulnerables. El grupo de amenazas chino conocido como Velvet Ant ha sido vinculado a estos ataques.

Detalles del Incidente

Cisco ha identificado y corregido una vulnerabilidad crítica en su software NX-OS que permitía a atacantes con privilegios de administrador ejecutar comandos arbitrarios con permisos de root en dispositivos afectados. La vulnerabilidad, rastreada como CVE-2024-20399, fue reportada por la firma de ciberseguridad Sygnia, que vinculó los ataques al grupo de amenazas chino patrocinado por el estado, Velvet Ant.

Amnon Kushnir, Director de Respuesta a Incidentes en Sygnia, comentó que la explotación fue detectada durante una investigación forense más amplia relacionada con el grupo de ciberespionaje. Los atacantes recolectaron credenciales de nivel administrador para acceder a los switches Cisco Nexus y desplegar malware personalizado, permitiéndoles conectarse remotamente a los dispositivos comprometidos, cargar archivos adicionales y ejecutar código malicioso.

Impacto y Dispositivos Afectados

La lista de dispositivos afectados incluye:

  • Switches de la Serie MDS 9000
  • Switches de la Serie Nexus 3000
  • Switches de la Plataforma Nexus 5500
  • Switches de la Plataforma Nexus 5600
  • Switches de la Serie Nexus 6000
  • Switches de la Serie Nexus 7000
  • Switches de la Serie Nexus 9000 en modo autónomo NX-OS

Cisco explicó que la vulnerabilidad se debe a una validación insuficiente de los argumentos pasados a comandos específicos del CLI de configuración. Un atacante podría explotar esta falla incluyendo entradas diseñadas específicamente como argumentos de los comandos afectados, permitiendo la ejecución de comandos arbitrarios con privilegios de root sin generar mensajes de syslog del sistema, lo que facilita la ocultación de los signos de compromiso.

Recomendaciones

Cisco aconseja a sus clientes monitorear y cambiar regularmente las credenciales de los usuarios administrativos “network-admin” y “vdc-admin”. Los administradores pueden usar la página Cisco Software Checker para determinar si sus dispositivos están expuestos a ataques que exploten la vulnerabilidad CVE-2024-20399.

Contexto Adicional

En abril, Cisco también advirtió sobre otro grupo de hackers respaldados por el estado, conocido como UAT4356 o STORM-1849, que había estado explotando múltiples vulnerabilidades de día cero en los firewalls Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) desde noviembre de 2023 en una campaña denominada ArcaneDoor, dirigida a redes gubernamentales en todo el mundo.

El mes pasado, Sygnia informó que Velvet Ant también había atacado los dispositivos F5 BIG-IP con malware personalizado en una campaña de ciberespionaje, manteniendo acceso persistente a las redes de sus víctimas y robando información sensible durante tres años sin ser detectados.

Conclusión

La rápida respuesta y parcheo de Cisco frente a esta vulnerabilidad subraya la importancia de una vigilancia continua y la actualización regular de sistemas para protegerse contra las amenazas emergentes en el panorama de la ciberseguridad.

#Cisco

Related Posts
Clear Filters

En un reciente estudio, Wiz Research ha identificado vulnerabilidades críticas en SAP AI Core, una plataforma de inteligencia artificial gestionada…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.