Velvet Ant zloupotrebljava Cisco ranjivost

Kompanija za sajber bezbjednost Sygnia je izvijestila da kineski zlonamjerni akter pod nazivom Velvet Ant aktivno iskorištava ranjivost nultog dana u Cisco softveru NX-OS. Ovaj softver radi na različitim Cisco svičevima, čineći uređaje podložnim zlonamjernim napadima koji koriste prilagođeni zlonamjerni softver.

Velvet Ant zloupotrebljava Cisco ranjivost; Source: Bing Image Creator

CISCO RANJIVOST

Cisco svičevi su pod uticajem kritične ranjivosti nultog dana označene kao CVE-2024-20399 (CVSS ocjena: 6.0) koju je iskoristila kineska grupa za sajber špijunažu, Velvet Ant. Ova ranjivost postoji u NX-OS softveru koji se koristi na različitim Cisco svičevima, što ih čini podložnim zlonamjernim napadima.

CVE-2024-20399 ranjivost nultog dana utiče na nekoliko modela Cisco Nexus uređaja, uključujući MDS 9000 Series Multilayer Switches, Nexus 3000 Series Switches, Nexus 5500 Platform Switches, Nexus 5600 Platform Switches, Nexus 6000 Series Switches i Nexus 7000 Series Switches. Pored toga, utiču na Nexus 9000 Series Switches u samostalnom NX-OS režimu.

“Zlonamjerni akteri su prikupili akreditive na nivou administratora da bi dobili pristup Cisco Nexus svičevima i primijenili ranije nepoznati prilagođeni zlonamjerni softver koji im je omogućio da se daljinski povežu sa kompromitovanim uređajima, otpreme dodatne datoteke i izvrše zlonamjerni kôd. Odmah smo prijavili ovu ranjivost i eksploataciju Cisco-u i pružili detaljne informacije o toku napada.”

– Amnon Kushir, incident response research manager Sygnia  –

Ranjivost je uzrokovana problemom sa validacijom argumenata koji su proslijeđeni specifičnim komandama interfejsa komandne linije (eng. Command Line Interface – CLI) u NX-OS softveru. Napadač koji ima i administratorske akreditive i pristup ovim specifičnim konfiguracionim komandama može da iskoristi ovu ranjivost tako što će umetnuti posebno pripremljen unos kao argument za CLI komandu, izvršavajući na taj način proizvoljne komande osnovnog nivoa na ciljanom uređaju bez pokretanja bilo kakve sistemske sistemske poruke.

Uticaj ove ranjivosti nultog dana je značajan, jer napadačima daje potpunu kontrolu nad kompromitovanim uređajima i omogućava im da otpremaju dodatne datoteke ili daljinski izvršavaju kôd. Ovo može dovesti do krađe podataka, neovlaštenog pristupa, napada uskraćivanja usluge i drugih zlonamjernih aktivnosti. Štaviše, mogućnost da prikriju svoje radnje iskorišćavanjem ove ranjivosti bez pokretanja sistemskih poruka čini je još opasnijom za organizacije sa velikim implementacijama Cisco Nexus svičeva.

“Mrežni uređaji, posebno svičevi, se često ne nadgledaju, a njihovi zapisi se često ne prosljeđuju centralizovanom sistemu za evidentiranje. Ovaj nedostatak praćenja stvara značajne izazove u identifikovanju i istraživanju zlonamjernih aktivnosti.”

– Sygnia –

UTICAJ

Ozbiljnost ranjivosti CVE-2024-20399 je visoko ocijenjena zbog mogućeg potencijalnog uticaja na ciljane uređaje, ali zahtev je da napadač ima i administratorske akreditive i pristup određenim konfiguracionim komandama čini ga manje rasprostranjenim u poređenju sa drugim ranjivostima sa nižim privilegijama ili lakšim metodama eksploatacije.

Iskorištavanje ove ranjivosti dovelo je do toga da Velvet Ant uspostavi postojan pristup mreži unutar okruženja žrtve. Iako su preduslovi za iskorištavanje ove ranjivosti značajni, ono naglašava tendenciju sofisticiranih zlonamjernih aktera da iskoriste nezaštićene i ne nadgledane mrežne uređaje za svoje napade.

Kompanija Cisco je izdala ispravku početkom jula 2024. godine, koja se bavi ovom ranjivošću nultog dana i poziva korisnike da što pre primjene ažuriranje kako bi zaštitili svoje mreže od potencijalnih napada. Organizacijama se takođe savjetuje da nadgledaju svoje Cisco Nexus evidencije svičeva u potrazi za bilo kakvim znacima sumnjive aktivnosti u vezi sa konfiguracionim komandama i primjenjuju snažne smjernice kontrole pristupa kako bi se smanjio rizik od eksploatacije.

VELVET ANT

Velvet Ant je dobro poznata kineska grupa za sajber špijunažu koja je povezana sa različitim sofisticiranim višegodišnjim kampanjama koje ciljaju organizacije širom sveta. Njihov primarni cilj je špijunaža, sa fokusom na dobijanje dugoročnog pristupa mrežama žrtava za eksfiltraciju podataka i prikupljanje obavještajnih podatka. Ranije su koristili kompromitovane F5 BIG-IP balansere kao dio svoje strategije postojanosti unutar korisničkih okruženja.

Taktike Velvet Ant zlonamjerne grupe uključuju iskorišćavanje ranjivosti nultog dana u različitim softverima, korištenje spear phishing elektronske pošte sa zlonamjernim prilozima ili vezama za dobijanje početnog pristupa i korištenje tehnika društvenog inženjeringa kako bi se korisnici prevarili da otkriju osjetljive informacije. Njihovi napadi su često sofisticirani i prikriveni, što ih organizacijama otežava da otkriju i na njih efikasno reaguju.

ZAKLJUČAK

Otkriće ranjivosti CVE-2024-20399 naglašava važnost informisanja o novim prijetnjama i ranjivostima u mrežnoj infrastrukturi. Iako su preduslovi za ovaj napad značajni (autentifikovani lokalni napadač i pristup određenim konfiguracionim komandama), on naglašava važnost pridržavanja najboljih bezbjednosnih praksi kao ublažavanja ovakvih prijetnji.

Organizacije koje koriste pogođene uređaje treba da daju prioritet primjeni softverskih ispravki i primjeni dodatnih bezbjednosnih mjera kako bi zaštitile svoje mreže od potencijalnih napada sofisticiranih protivnika kao što je Velvet Ant Proaktivnim pristupom, organizacije mogu minimizirati rizik od uspješne eksploatacije i održati povjerljivost, integritet i dostupnost svojih kritičnih podataka i sistema.

ZAŠTITA

Evo nekoliko koraka koji će pomoći u zaštiti Cisco svičeva od potencijalnih napada:

1. Održavati Cisco svičeve ažurnim sa najnovijim softverskim ispravkama i bezbjednosnim ispravkama, što se može uraditi preko Cisco stranice za provjeru softvera,
2. Koristiti jake, složene lozinke za sve administrativne naloge na Cisco svičevima i redovno ih mijenjati. Izbjegavati korišćenje podrazumijevanih lozinki ili uobičajenih fraza koje napadači mogu lako da pogode,
3. Primijeniti centralizovano evidentiranje i nadgledanje mreže kako bi se olakšalo u otkrivanju i reagovanju na potencijalne napade u realnom vremenu. Redovno pregledati evidenciju Cisco svičeva za bilo kakvim sumnjivim aktivnostima ili neobičnim obrascima koji bi mogli ukazivati na potencijalni napad. Koristite alate za upravljanje evidencijama da da bi se olakšala analiza i korelacija podataka iz više izvora u realnom vremenu. Ovo će omogućiti da se brzo identifikuju sve sumnjive aktivnost na Cisco svičevima i da se preduzmu odgovarajuće mjere,
4. Ograničiti administrativni pristup samo na pouzdane korisnike i uređaje i koristiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA) gdje je to moguće. Ovo može pomoći u sprečavanju neovlaštenog pristupa Cisco svičevima i smanjiti rizik od napada,
5. Sprovesti segmentaciju mreže da bi se odvojila kritična infrastruktura od manje osjetljivih oblasti. Koristiti VLAN da se odvoji saobraćaj između različitih odjeljenja, aplikacija i korisnika. Konfigurisati Liste kontrole pristupa  (eng. Access Control Lists – ACL) na interfejsima da bi se ograničio neovlašteni pristup osjetljivim dijelovima mreže. Ovo će otežati napadačima da se kreću bočno unutar mreže, smanjujući potencijalni uticaj uspješnog napada na Cisco svičeve,
6. Koristiti sisteme za sprečavanje upada (eng. intrusion prevention systems – IPS) na ključnim tačkama mreže da bi se blokirali poznati napadi i spriječilo širenje novih prijetnji. Ovo može uključivati korišćenje zaštitnih zidova sa integrisanim IPS mogućnostima ili namjenskih IPS uređaja,
7. Sprovoditi redovne bezbjednosne procjene Cisco svičeva i šire mrežne infrastrukture da bi se identifikovale ranjivosti i potencijalne slabosti koje bi napadači mogli da iskoriste. Koristiti alate kao što su skeneri ranjivosti, alati za testiranje penetracije i praćenje obavještajnih podataka o prijetnjama da bi se imale najnovije informacije o novim prijetnjama i rizicima.