Cisco a corrigé une attaque zero-day exploitée par NX-OS en avril pour installer des logiciels malveillants auparavant inconnus en tant que root sur des commutateurs vulnérables.

La société de cybersécurité Sygnia, qui a signalé les incidents à Cisco, a lié les attaques à un acteur menaçant parrainé par l’État chinois qu’elle suit sous le nom de Velvet Ant.

« Sygnia a détecté cette exploitation lors d’une enquête médico-légale plus vaste sur le groupe de cyberespionnage China-nexus que nous suivons sous le nom de Velvet Ant », a déclaré Amnon Kushnir, directeur de la réponse aux incidents chez Sygnia, à Breachtrace.

« Les auteurs de la menace ont rassemblé des informations d’identification de niveau administrateur pour accéder aux commutateurs Cisco Nexus et déployer un logiciel malveillant personnalisé jusqu’alors inconnu qui leur permettait de se connecter à distance à des appareils compromis, de télécharger des fichiers supplémentaires et d’exécuter du code malveillant. »

Cisco affirme que la vulnérabilité (identifiée comme CVE-2024-20399) peut être exploitée par des attaquants locaux disposant de privilèges d’administrateur pour exécuter des commandes arbitraires avec des autorisations root sur les systèmes d’exploitation sous-jacents des périphériques vulnérables.

« Cette vulnérabilité est due à une validation insuffisante des arguments transmis à des commandes CLI de configuration spécifiques. Un attaquant pourrait exploiter cette vulnérabilité en incluant une entrée contrefaite comme argument d’une commande CLI de configuration affectée », explique Cisco.

« Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent avec les privilèges de root. »

La liste des périphériques concernés comprend plusieurs commutateurs exécutant un logiciel NX-OS vulnérable:

  • Commutateurs multicouches série MDS 9000
  • Commutateurs de la série Nexus 3000
  • Commutateurs de plate-forme Nexus 5500
  • Commutateurs de plate-forme Nexus 5600
  • Commutateurs de la série Nexus 6000
  • Commutateurs de la série Nexus 7000
  • Commutateurs Nexus série 9000 en mode NX-OS autonome

La faille de sécurité permet également aux attaquants d’exécuter des commandes sans déclencher de messages syslog système, leur permettant ainsi de dissimuler des signes de compromission sur les périphériques NX-OS piratés.

Cisco conseille aux clients de surveiller et de modifier régulièrement les informations d’identification des utilisateurs administratifs network-admin et vdc-admin.

Les administrateurs peuvent utiliser la page Cisco Software Checker pour déterminer si les périphériques de leur réseau sont exposés à des attaques ciblant la vulnérabilité CVE-2024-20399.

En avril, Cisco a également averti qu’un groupe de piratage soutenu par l’État (suivi sous les noms UAT4356 et STORM-1849) exploitait plusieurs bogues zero-day (CVE-2024-20353 et CVE-2024-20359) dans les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) depuis novembre 2023 dans une campagne baptisée ArcaneDoor ciblant les réseaux gouvernementaux du monde entier.

À l’époque, la société avait ajouté qu’elle avait également trouvé des preuves que les pirates informatiques avaient testé et développé des exploits pour cibler les failles zero-day depuis au moins juillet 2023.

Ils ont exploité les vulnérabilités pour installer des logiciels malveillants jusque-là inconnus qui leur permettaient de maintenir la persistance sur des périphériques ASA et FTD compromis. Cependant, Cisco a déclaré qu’il n’avait pas encore identifié le vecteur d’attaque initial utilisé par les attaquants pour violer les réseaux des victimes.

Le mois dernier, Sygnia a déclaré que Velvet Ant ciblait les appliances F5 BIG-IP avec des logiciels malveillants personnalisés dans le cadre d’une campagne de cyberespionnage. Dans cette campagne, ils ont utilisé un accès persistant aux réseaux de leurs victimes pour voler furtivement des informations sensibles sur leurs clients et leurs finances pendant trois ans tout en évitant d’être détectés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *