Chinese hackers misbruiken Cisco Switches Zero-Day om malware te verspreiden

Er is vastgesteld dat een cyberespionagegroep met de naam Velvet Ant, die actief is in China, misbruik maakt van een zero-day-fout in de Cisco NX-OS-software die in hun switches wordt gebruikt om malware te verspreiden.

De kwetsbaarheid, die is geregistreerd als CVE-2024-20399 (CVSS-score: 6,0), betreft een geval van opdrachtinjectie waarmee een geauthenticeerde, lokale aanvaller willekeurige opdrachten als root kan uitvoeren op het onderliggende besturingssysteem van een getroffen apparaat.

“Door misbruik te maken van deze kwetsbaarheid, heeft Velvet Ant met succes een tot dan toe onbekende, aangepaste malware uitgevoerd waarmee de aanvallersgroep op afstand verbinding konden maken met gecompromitteerde Cisco Nexus-apparaten, extra bestanden konden uploaden en code op de apparaten konden uitvoeren”, aldus cybersecuritybedrijf Sygnia in een verklaring die werd gedeeld met The Hacker News.

Volgens Cisco wordt het probleem veroorzaakt door onvoldoende validatie van argumenten die worden doorgegeven aan specifieke configuratie-CLI-opdrachten. Een aanvaller kan hier misbruik van maken door gemanipuleerde invoer op te nemen als argument van een getroffen configuratie-CLI-opdracht.

Bovendien kan een gebruiker met beheerdersrechten hiermee opdrachten uitvoeren zonder dat dit systeem-syslogberichten activeert. Hierdoor kan de uitvoering van shell-opdrachten op gehackte apparaten worden verborgen.

Ondanks de mogelijkheden voor code-uitvoering van de fout, is de lagere ernst te wijten aan het feit dat succesvolle exploitatie vereist dat een aanvaller al in het bezit is van beheerdersreferenties en toegang heeft tot specifieke configuratieopdrachten. De volgende apparaten worden beïnvloed door CVE-2024-20399 –

  • MDS 9000-serie meerlaagse schakelaars
  • Nexus 3000-serie switches
  • Nexus 5500-platformswitches
  • Nexus 5600-platformswitches
  • Nexus 6000-serie switches
  • Nexus 7000-serie switches en
  • Nexus 9000-serie switches in stand-alone NX-OS-modus

Sygnia zei dat het in-the-wild-exploitatie van CVE-2024-20399 ontdekte tijdens een breder forensisch onderzoek dat het afgelopen jaar plaatsvond. Cisco merkte echter op dat het in april 2024 op de hoogte raakte van een poging tot exploitatie van de kwetsbaarheid.

Velvet Ant werd vorige maand voor het eerst gedocumenteerd door het Israëlische cybersecuritybedrijf in verband met een cyberaanval die gericht was op een anonieme organisatie in Oost-Azië gedurende een periode van ongeveer drie jaar. De aanval werd uitgevoerd met behulp van verouderde F5 BIG-IP-apparaten om op heimelijke wijze klant- en financiële gegevens te stelen.

“Netwerkapparaten, met name switches, worden vaak niet bewaakt en hun logs worden vaak niet doorgestuurd naar een gecentraliseerd logsysteem”, aldus Sygnia. “Dit gebrek aan bewaking zorgt voor aanzienlijke uitdagingen bij het identificeren en onderzoeken van kwaadaardige activiteiten.”

De ontwikkeling vindt plaats terwijl kwaadwillenden misbruik maken van een kritieke kwetsbaarheid die de D-Link DIR-859 Wi-Fi-routers treft (CVE-2024-0769, CVSS-score: 9,8) – een probleem met het padverkeer dat leidt tot openbaarmaking van informatie – om accountgegevens te verzamelen, zoals namen, wachtwoorden, groepen en beschrijvingen van alle gebruikers.

“De variaties van de exploit (…) maken het mogelijk om accountgegevens van het apparaat te extraheren,” aldus het threat intelligence-bedrijf GreyNoise. “Het product is End-of-Life, dus het zal niet worden gepatcht, wat op de lange termijn exploitatierisico’s met zich meebrengt. Meerdere XML-bestanden kunnen worden aangeroepen met behulp van de kwetsbaarheid.”

Thijs Van der Does