Cisco a corrigé une faille zero-day NX-OS exploitée lors des attaques d'avril pour installer des logiciels malveillants jusqu'alors inconnus en tant que root sur des commutateurs vulnérables.
La société de cybersécurité Sygnia, qui a signalé les incidents à Cisco, a lié les attaques à un acteur menaçant parrainé par l'État chinois qu'elle suit sous le nom de Velvet Ant.
« Sygnia a détecté cette exploitation lors d'une enquête médico-légale plus large sur le groupe de cyberespionnage lié à la Chine que nous suivons sous le nom de Velvet Ant », a déclaré Amnon Kushnir, directeur de la réponse aux incidents chez Sygnia, à BleepingComputer.
« Les auteurs de la menace ont rassemblé des informations d'identification de niveau administrateur pour accéder aux commutateurs Cisco Nexus et déployer un malware personnalisé jusqu'alors inconnu qui leur a permis de se connecter à distance à des appareils compromis, de télécharger des fichiers supplémentaires et d'exécuter du code malveillant. »
Cisco affirme que la vulnérabilité (identifiée comme CVE-2024-20399) peut être exploitée par des attaquants locaux disposant de privilèges d'administrateur pour exécuter des commandes arbitraires avec des autorisations root sur les systèmes d'exploitation sous-jacents des appareils vulnérables.
« Cette vulnérabilité est due à une validation insuffisante des arguments transmis à des commandes CLI de configuration spécifiques. Un attaquant pourrait exploiter cette vulnérabilité en incluant une entrée spécialement conçue comme argument d'une commande CLI de configuration affectée », a déclaré Cisco. explique.
« Un exploit réussi pourrait permettre à l'attaquant d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent avec les privilèges root. »
La liste des appareils concernés comprend plusieurs commutateurs exécutant le logiciel NX-OS vulnérable :
- Commutateurs multicouches de la série MDS 9000
- Commutateurs Nexus série 3000
- Commutateurs de plate-forme Nexus 5500
- Commutateurs de la plate-forme Nexus 5600
- Commutateurs Nexus série 6000
- Commutateurs Nexus série 7000
- Commutateurs Nexus série 9000 en mode NX-OS autonome
La faille de sécurité permet également aux attaquants d’exécuter des commandes sans déclencher de messages syslog système, leur permettant ainsi de dissimuler les signes de compromission sur les appareils NX-OS piratés.
Cisco conseille aux clients de surveiller et de modifier régulièrement les informations d'identification des utilisateurs administratifs réseau et administrateur vdc.
Les administrateurs peuvent utiliser le Vérificateur de logiciels Cisco page pour déterminer si les appareils de leur réseau sont exposés à des attaques ciblant la vulnérabilité CVE-2024-20399.
En avril, Cisco a également averti qu'un groupe de pirates soutenu par l'État (identifié comme UAT4356 et STORM-1849) exploitait plusieurs bogues zero-day (CVE-2024-20353 et CVE-2024-20359) dans les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) depuis novembre 2023 dans une campagne baptisée ArcaneDoor ciblant les réseaux gouvernementaux du monde entier.
À l'époque, la société avait ajouté qu'elle avait également trouvé des preuves que les pirates avaient testé et développé des exploits pour cibler les failles zero-day depuis au moins juillet 2023.
Ils ont exploité les vulnérabilités pour installer des logiciels malveillants jusqu'alors inconnus, ce qui leur a permis de maintenir la persistance sur les appareils ASA et FTD compromis. Cependant, Cisco a déclaré qu'il n'avait pas encore identifié le vecteur d'attaque initial utilisé par les attaquants pour pénétrer dans les réseaux des victimes.
Le mois dernier, Sygnia a déclaré que Velvet Ant avait ciblé les appareils F5 BIG-IP avec des logiciels malveillants personnalisés dans le cadre d'une campagne de cyberespionnage. Dans cette campagne, ils ont utilisé un accès persistant aux réseaux de leurs victimes pour voler furtivement des informations client et financières sensibles pendant trois ans tout en évitant d'être détectés.
