Se ha descubierto que los actores de amenazas chinos están explotando una vulnerabilidad de día cero en ciertos conmutadores de Cisco para apoderarse de los dispositivos e instalar malware.
Los hallazgos provienen de Sygnia, que recientemente descubrió una nueva campaña maliciosa que se cree que fue llevada a cabo por un actor de amenazas respaldado por el estado chino conocido como Velvet Ant.
“Los actores de amenazas recopilan credenciales de nivel de administrador para obtener acceso a los conmutadores Cisco Nexus, implementar malware personalizado previamente desconocido, conectarse de forma remota a dispositivos comprometidos y cargar archivos adicionales, lo que les permite ejecutar código malicioso”, Amnon Kushnir, director de respuesta a incidentes en Sygnia, dijo a BleepingComputer.
Supervisar las credenciales de inicio de sesión
Desde entonces, esta vulnerabilidad se solucionó, por lo que si está utilizando alguno de los modelos enumerados a continuación, asegúrese de aplicar la solución de inmediato.
La vulnerabilidad se rastrea como CVE-2024-20399 y Cisco dice que podría ser explotada por un atacante local con privilegios administrativos. Esto hace posible ejecutar comandos arbitrarios con privilegios de root en NX-OS, el sistema operativo que ejecuta el conmutador.
“Esta vulnerabilidad se debe a una validación insuficiente de los argumentos pasados a ciertos comandos CLI de configuración. Un atacante podría explotar esta vulnerabilidad al incluir una entrada diseñada como argumento para un comando CLI de configuración afectado. “Las vulnerabilidades pueden ser explotadas”, dijo Cisco.
La lista completa de puntos finales vulnerables es:
Conmutadores multicapa serie MDS 9000
Conmutadores Nexus serie 3000
Conmutador de plataforma Nexus 5500
Conmutador de plataforma Nexus 5600
Conmutadores Nexus serie 6000
Conmutadores Nexus serie 7000
Conmutador Nexus serie 9000 en modo NX-OS independiente
La vulnerabilidad no solo permite a los atacantes ejecutar comandos arbitrarios con privilegios de root, sino que también les permite ejecutar comandos mientras permanecen ocultos, ya que los mensajes del syslog del sistema no se activan.
Para buscar signos de compromiso, Cisco recomienda que los administradores de red rastree y actualicen las credenciales de inicio de sesión para los usuarios de administrador de red y administrador de vdc. Finalmente, puede utilizar la página Cisco Software Checker para ver si su dispositivo es vulnerable.
Más artículos de TechRadar Pro
Fuente: https://www.techradar.com/pro/security/cisco-nexus-switches-targeted-by-large-scale-chinese-malware-campaign
