Vulnerabilidad 0-Day en Cisco NX-OS

Cisco ha parcheado una vulnerabilidad Zero-Day de NX-OS explotado en abril para instalar malware previamente desconocido como raíz en switches vulnerables.

La empresa de ciberseguridad Sygnia, que informó de los incidentes a Cisco, vinculó los ataques con un actor de amenazas patrocinado por el estado chino al que rastrea como Velvet Ant. «Sygnia detectó esta explotación durante una investigación forense más amplia sobre el grupo de ciberespionaje del nexo con China que estamos rastreando como Velvet Ant», dijo Amnon Kushnir, director de respuesta a incidentes de Sygnia.

«Los actores de amenazas reunieron credenciales de nivel de administrador para obtener acceso a los switches Cisco Nexus e implementar un malware personalizado previamente desconocido que les permitió conectarse de forma remota a dispositivos comprometidos, cargar archivos adicionales y ejecutar código malicioso».

Cisco dice que la vulnerabilidad identificada como CVE-2024-20399 puede ser explotada por atacantes locales con privilegios de administrador para ejecutar comandos arbitrarios con permisos de root en los sistemas operativos subyacentes de los dispositivos vulnerables.

«Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos. Un atacante podría explotar esta vulnerabilidad incluyendo entradas manipuladas como argumento de un comando CLI de configuración afectado»explica Cisco.

«Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root».

La lista de dispositivos afectados incluye varios switches que ejecutan software NX-OS vulnerable:

La falla de seguridad también permite a los atacantes ejecutar comandos sin activar mensajes de syslog del sistema, lo que les permite ocultar signos de compromiso en los dispositivos NX-OS atacados.

Cisco recomienda a los clientes que supervisen y cambien periódicamente las credenciales de los usuarios administrativos de vdc-admin.

Los administradores pueden utilizar la página Cisco Software Checker para determinar si los dispositivos de su red están expuestos a ataques dirigidos a la vulnerabilidad CVE-2024-20399.

───[ 💣 GitHub Exploits ]: https://github.com/Blootus/CVE-2024-20399-Cisco-RCE

Filed under
Ciberseguridad
Previous Next
For this post, the comments have been closed.