Cisco, daha önce bilinmeyen kötü amaçlı yazılımları savunmasız anahtarlarda kök olarak kurmak için Nisan saldırılarında bir NX-OS sıfır gününü sömürdü.
Olayları Cisco'ya bildiren siber güvenlik firması Sygnia, saldırıları kadife karınca olarak izlediği Çin devlet destekli bir tehdit aktörüne bağladı.
Sygnia olay müdahalesi direktörü Amnon Kushnir, BleepingComputer'a verdiği demeçte, "Sygnia, Çin-Nexus Siber Teslim Grubu hakkında daha büyük bir adli soruşturma sırasında bu sömürü tespit etti."
"Tehdit aktörleri, Cisco Nexus anahtarlarına erişmek ve daha önce bilinmeyen cihazlara uzaktan bağlanmalarına, ek dosya yüklemelerine ve kötü niyetli kod yürütmelerine izin veren daha önce bilinmeyen bir özel kötü amaçlı yazılım dağıtmak için yönetici düzeyinde kimlik bilgileri topladı."
Cisco, güvenlik açığının (CVE-2024-20399 olarak izlenen), savunmasız cihazların altında yatan işletim sistemlerinde kök izinleri olan keyfi komutlar yürütmek için yönetici ayrıcalıklarına sahip yerel saldırganlar tarafından kullanılabileceğini söylüyor.
Cisco, "Bu güvenlik açığı, belirli yapılandırma CLI komutlarına aktarılan argümanların yetersiz doğrulanmasından kaynaklanıyor. Bir saldırgan, etkilenen bir yapılandırma CLI komutunun argümanı olarak hazırlanmış girişi ekleyerek bu güvenlik açığını kullanabilir."
"Başarılı bir istismar, saldırganın temel işletim sisteminde kök ayrıcalıklarıyla keyfi komutlar yürütmesine izin verebilir."
Etkilenen cihazların listesi, savunmasız NX-OS yazılımını çalıştıran birden çok anahtar içerir:
Güvenlik kusuru ayrıca saldırganların sistem syslog mesajlarını tetiklemeden komutları yürütmelerini sağlar, böylece saldırıya uğramış NX-OS cihazlarında uzlaşma belirtileri gizlemelerine izin verir.
Cisco, müşterilere ağ-admin ve VDC-Admin idari kullanıcılarının kimlik bilgilerini düzenli olarak izlemelerini ve değiştirmelerini tavsiye eder.
Yöneticiler, ağlarındaki cihazların CVE-2024-20399 güvenlik açığını hedefleyen saldırılara maruz kalıp kalmadığını belirlemek için Cisco Software Checker sayfasını kullanabilirler.
Nisan ayında Cisco ayrıca, adaptif güvenlik cihazında (ASA) birden fazla sıfır günlük böceğten (CVE-2024-20353 ve CVE-2024-20359) bir devlet destekli hackleme grubunun (UAT4356 ve Storm-1849 olarak izlendiği) uyardı. ve Kasım 2023'ten bu yana, dünya çapında hükümet ağlarını hedefleyen Arcanedoor adlı bir kampanyada ateş gücü tehdidi savunması (FTD) güvenlik duvarları.
O zamanlar şirket, bilgisayar korsanlarının en az Temmuz 2023'ten bu yana sıfır gün kusurlarını hedeflemek için istismarları test ettikleri ve geliştirdiğine dair kanıt bulduğunu da sözlerine ekledi.
Daha önce bilinmeyen kötü amaçlı yazılımları kurmak için güvenlik açıklarından yararlandılar ve bu da tehlikeye atılan ASA ve FTD cihazlarda kalıcılığı sürdürmelerine izin verdiler. Ancak Cisco, saldırganlar tarafından kurbanların ağlarını ihlal etmek için kullanılan ilk saldırı vektörünü henüz tanımlamadığını söyledi.
Geçen ay Sygnia, Velvet Ant'in bir siber temsilci kampanyasında özel kötü amaçlı yazılımlarla F5 BIG-IP cihazlarını hedeflediğini söyledi. Bu kampanyada, tespitten kaçınırken üç yıl boyunca hassas müşteri ve finansal bilgileri gizlice çalmak için kurbanlarının ağlarına kalıcı erişim kullandılar.
Bilgisayar korsanları, yıllarca gizlice veri çalmak için F5 Big-IP kötü amaçlı yazılım kullanın
Çinli bilgisayar korsanları dünya çapında 20.000 Fortigate Sistemini ihlal etti
Microsoft, Qakbot kötü amaçlı yazılım saldırılarında Windows Zero Day'i düzeltiyor
Infostealer kötü amaçlı yazılım günlükleri, çocuk istismarı web sitesi üyelerini tanımlamak için kullanılan
Google şimdi KVM sıfır gün güvenlik açıkları için 250.000 dolar ödüyor
Kaynak: Bleeping Computer