Cisco a dezvăluit o vulnerabilitate critică la linia de comandă (CLI) a sistemului de operare Cisco NX-OS, care este în prezent exploatată activ de atacatori. Cisco NX-OS rulează pe echipamentele de rețea din seriile Nexus și MDS. Această breșă de securitate, identificată ca CVE-2024-20399, permite atacatorilor să execute comenzi arbitrare cu privilegii de root pe dispozitivele afectate.
Detalii despre vulnerabilitatea care afectează Cisco NX-OS
Vulnerabilitatea CVE-2024-20399 apare pentru că echipamentul nu validează adecvat informațiile pe care le primește atunci când se dau anumite comenzi în linia de comandă. Practic, când un administrator introduce comenzi pentru a configura echipamentul, sistemul nu verifică bine datele primite. Această eroare permite unui atacator să folosească comenzi speciale, prin care poate controla echipamentul.
Produsele afectate
Următoarele produse Cisco sunt vulnerabile dacă rulează o versiune neactualizată a software-ului Cisco NX-OS:
- Switch-urile din seria MDS 9000;
- Switch-urile din seria Nexus 3000;
- Switch-urile din platforma Nexus 5500;
- Switch-urile din platforma Nexus 5600;
- Switch-urile din seria Nexus 6000;
- Switch-urile din seria Nexus 7000;
- Switch-urile din seria Nexus 9000 în modul NX-OS standalone.
Anumite modele din seriile Nexus 3000 și Nexus 9000 nu sunt afectate dacă rulează Cisco NX-OS Software versiunea 9.3(5) și mai recente, cu excepții specifice precum modelele N3K-C3264C-E și N9K-C92348GC-X, care necesită actualizări suplimentare la versiunile 10.4.3 și mai recente.
Ce trebuie să facă administratorii de rețea
Pentru a proteja echipamentele de rețea, administratorii trebuie să aplice actualizările de software furnizate de Cisco și să monitorizeze constant echipamentele pentru a detecta eventuale activități neobișnuite. Totodată, administratorii sunt sfătuiți să monitorizeze și să schimbe regulat acreditările utilizatorilor admin, cum ar fi network-admin și vdc-admin, pentru a reduce riscurile potențiale.
Instrumente și resurse
Cisco oferă instrumentul Cisco Software Checker pentru a descoperi breșa și pentru a găsi actualizările software adecvate. Acest instrument ajută la identificarea versiunilor software afectate și a celor mai recente versiuni care le remediază. Administratorii pot accesa acest instrument pe pagina Cisco Software Checker.
Cine a profitat de această breșă de securitate
Echipa de Răspuns la Incidente de Securitate a Produselor Cisco (PSIRT) a luat cunoștință de exploatarea activă a acestei vulnerabilități în aprilie 2024. Firma de securitate cibernetică Sygnia a legat aceste atacuri de un actor de amenințare susținut de statul chinez, cunoscut sub numele de Velvet Ant, care a utilizat această breșă pentru a instala malware personalizat pe dispozitivele compromise. Acest malware permite conexiuni remote, încărcarea de fișiere și execuția de cod malițios fără a declanșa mesaje syslog ale sistemului, mascând astfel atacul.