Cisco cảnh báo về lỗ hổng zero-day trong hệ điều hành NX-OS
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
Công ty an ninh mạng Sygnia là đơn vị đã phát hiện và báo cáo lỗ hổng với Cisco. Ông Amnon Kushnir, Giám đốc Ứng phó sự cố tại Sygnia cho biết: “Công ty đã phát hiện hành vi khai thác này trong quá trình điều tra về nhóm gián điệp mạng có liên hệ với Trung Quốc mà chúng tôi đang theo dõi với tên gọi Velvet Ant. Những kẻ tấn công đã thu thập thông tin xác thực của người dùng quản trị để truy cập vào các thiết bị chuyển mạch Cisco Nexus và triển khai phần mềm độc hại tùy chỉnh chưa từng được biết đến trước đó, cho phép chúng kết nối từ xa đến các thiết bị bị xâm phạm, tải lên các tệp bổ sung và thực thi mã độc hại".
Trước đó, Sygnia cũng cho biết Velvet Ant đã nhắm mục tiêu vào các thiết bị F5 BIG-IP bằng phần mềm độc hại tùy chỉnh trong một chiến dịch gián điệp mạng. Chúng đã sử dụng quyền truy cập liên tục vào mạng của nạn nhân để lén lút đánh cắp thông tin tài chính và thông tin nhạy cảm của khách hàng trong ba năm.
Cisco giải thích lỗ hổng (được định danh CVE-2024-20399) có thể bị khai thác bởi những kẻ tấn công cục bộ có quyền quản trị viên để thực thi các lệnh tùy ý với quyền root trên hệ điều hành cơ bản của các thiết bị bị ảnh hưởng. "Lỗ hổng này do thiếu kiểm tra, sàng lọc tham số được truyền vào các lệnh CLI cấu hình cụ thể. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách truyền vào dữ liệu độc hại làm đối số cho câu lệnh CLI cấu hình bị ảnh hưởng".
Danh sách các thiết bị bị ảnh hưởng bao gồm nhiều thiết bị chuyển mạch đang chạy hệ điều hành NX-OS dễ bị tấn công:
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches in standalone NX-OS mode
Lỗ hổng cũng cho phép kẻ tấn công thực thi lệnh mà không kích hoạt thông báo nhật ký hệ thống, do đó cho phép chúng che giấu hành vi xâm phạm trên các thiết bị NX-OS bị tấn công.
Cisco khuyến nghị khách hàng nên thường xuyên theo dõi và thay đổi thông tin đăng nhập của người dùng quản trị (network-admin và vdc-admin).
Quản trị viên có thể sử dụng trang Cisco Software Checker để xác định xem các thiết bị của họ có bị ảnh hưởng bởi CVE-2024-20399 hay không.
Vào tháng 4/2024, Cisco cũng cảnh báo rằng một nhóm tin tặc được nhà nước hậu thuẫn (được theo dõi là UAT4356 và STORM-1849) đã khai thác nhiều lỗ hổng zero-day (CVE-2024-20353 và CVE-2024-20359) trong Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 trong một chiến dịch có tên ArcaneDoor nhắm vào các tổ chức chính phủ trên toàn thế giới. Vào thời điểm đó, công ty cũng tìm thấy bằng chứng cho thấy tin tặc đã thử nghiệm và phát triển các khai thác để nhắm vào lỗ hổng zero-day ít nhất là kể từ tháng 7/2023. Tin tặc đã khai thác các lỗ hổng để cài đặt phần mềm độc hại chưa được biết trước đó, cho phép duy trì sự tồn tại trên các thiết bị ASA và FTD bị xâm nhập. Tuy nhiên, Cisco cho biết họ vẫn chưa xác định được vectơ tấn công ban đầu được những kẻ tấn công sử dụng để xâm nhập mạng của các thiết bị bị tấn công.
Theo Tạp chí An toàn thông tin