Cisco Zero-Day زیر آتش گروه تهدید

این مقاله ابتدا در Dark Reading منتشر شد.

سیسکو یک نقص تزریق خط فرمان را در پلتفرم مدیریت شبکه ای که برای مدیریت استفاده می شود وصله کرده است سوئیچ ها در مراکز داده، که به گفته محققان Sygnia، قبلاً توسط گروه تهدید تحت حمایت چین معروف به Velvet Ant مورد سوء استفاده قرار گرفته است.

حشره (CVE-2024-20399) می تواند به مهاجمان احراز هویت شده اجازه دهد تا دستور دلخواه را به عنوان ریشه در سیستم عامل زیرین دستگاه آسیب دیده اجرا کنند. این در رابط خط فرمان (CLI) نرم‌افزار Cisco NX-OS یافت می‌شود، که به مدیران عملیات مرکز داده امکان عیب‌یابی و انجام عملیات تعمیر و نگهداری در دستگاه‌های دارای NX-OS را می‌دهد که از هسته لینوکس در هسته خود استفاده می‌کنند.

این آسیب‌پذیری به دلیل اعتبار سنجی ناکافی آرگومان‌هایی است که به دستورات CLI پیکربندی خاص ارسال می‌شوند. مشاوره سیسکو روی نقص “یک مهاجم می تواند از این آسیب پذیری با گنجاندن ورودی دستکاری شده به عنوان آرگومان یک فرمان CLI پیکربندی آسیب دیده سوء استفاده کند.”

به گفته سیسکو، این نقص شامل یک ویژگی bash-shell است که در همه نسخه‌های نرم‌افزار NX-OS پشتیبانی‌شده Cisco برای سوئیچ‌های سری Nexus سیسکو و برخی محصولات دیگر موجود است.

اگر دستگاهی یک نسخه نرم‌افزار Cisco NX-OS را اجرا می‌کند که از ویژگی bash-shell پشتیبانی نمی‌کند، کاربری با امتیازات سرپرست می‌تواند از این آسیب‌پذیری برای اجرای دستورات دلخواه در سیستم‌عامل زیربنایی سوء استفاده کند. اگر دستگاهی یک نسخه نرم افزار Cisco NX-OS را اجرا می کند که از ویژگی bash-shell پشتیبانی می کند، یک کاربر سرپرست می تواند مستقیماً با استفاده از این ویژگی به سیستم عامل اصلی دسترسی داشته باشد.

مربوط:AMD احتمال حمله سایبری توسط گروه هک IntelBroker را بررسی می کند

این نقص دستگاه‌های Cisco زیر را تحت تأثیر قرار می‌دهد: سوئیچ‌های چندلایه سری MDS 9000، سوئیچ‌های سری Nexus 3000، سوئیچ‌های پلتفرم Nexus 5500، سوئیچ‌های پلتفرم Nexus 5600، سوئیچ‌های سری Nexus 6000 در پایه‌های Nexus 7000Switches0، و Nexus 7000S9 حالت سیستم عامل . سیسکو به‌روزرسانی‌هایی را منتشر کرده است که نقص دستگاه‌های آسیب‌دیده را برطرف می‌کند.

از آنجایی که یک مهاجم برای بهره برداری از CVE-2024-20399 باید اعتبار مدیریت داشته باشد، این نقص فقط با ریسک متوسط ​​رتبه بندی می شود – اما با این وجود، در حال حاضر مورد سوء استفاده قرار گرفته است، بنابراین اصلاح آن باید در اولویت باشد.

ازدحام مورچه های مخملی در CVE-2024-20399

در واقع، رتبه 6.0 CVSS، Velvet Ant را از سوء استفاده از این نقص برای اجرای دستورات دلخواه در سیستم عامل لینوکس زیربنایی یک سوئیچ Cisco Nexus با استفاده از اعتبارنامه های مدیر معتبر در کنسول مدیریت سوئیچ منع نکرد. پست وبلاگ توسط تیم Sygnia.

NX-OS مبتنی بر هسته لینوکس است. با این حال، طبق این پست، محیط زیربنایی لینوکس را انتزاعی می کند و مجموعه ای از دستورات خود را با استفاده از NX-OS CLI ارائه می کند. بنابراین، «به منظور اجرای دستورات روی سیستم عامل لینوکس زیربنایی از کنسول مدیریت سوئیچ، یک مهاجم برای فرار از زمینه NX-OS CLI به یک نوع آسیب‌پذیری «جیل بریک» نیاز دارد، که CVE-2024-20399 ارائه می‌کند. به Sygnia.

مربوط:SLA های کاربردی در ابر: یک کلاهبرداری بزرگ؟

سوء استفاده مورچه مخملی از نقص – بخشی از a کمپین چند ساله توسط Sygnia فاش و توسط تاریک خواندن تیم Sygnia نوشت: در ژوئن – “به اجرای یک بدافزار سفارشی ناشناخته قبلی منجر شد که به گروه تهدید اجازه می داد از راه دور به دستگاه های Cisco Nexus در معرض خطر متصل شوند، فایل های اضافی را آپلود کنند و کد را روی دستگاه ها اجرا کنند.”

استفاده از نقص های سیسکو سرگرمی مورد علاقه مهاجمان سایبری دولت ملت است: به عنوان مثال، یک کمپین حمله نامربوط به نام ArcaneDoor که در آوریل شناسایی شد، همچنین دستگاه‌های سیسکو را برای ارائه دو درب پشتی سفارشی با بهره‌برداری از نقص‌های روز صفر برای هدف قرار دادن محیط شبکه‌های دولتی در یک کمپین جهانی جاسوسی سایبری هدف قرار داد.

برای کاهش بیشتر ریسک Vuln سیسکو، اکنون وصله کنید

سوئیچ‌های Cisco Nexus در محیط‌های سازمانی، به‌ویژه در مراکز داده رایج هستند و معمولاً در معرض اینترنت نیستند. اما به دست آوردن معتبر اعتبار سطح مدیریت و دسترسی به شبکه به آن دستگاه‌ها پیشنهادی جذاب برای تهدیدات دائمی پیشرفته (APT) مانند Velvet Ant است که تمایل دارند سوئیچ‌های بدون محافظ و سایر لوازم شبکه را برای دستیابی به پایداری و اجرای دستورات در طول حملات سایبری هدف قرار دهند.

این بدان معناست که سازمان‌های آسیب‌دیده باید دستورالعمل‌های سیسکو را برای وصله کردن دستگاه‌های آسیب‌پذیر موجود در a دنبال کنند شبکه. سازمان ها می توانند از سیسکو استفاده کنند جستجوگر نرم افزار تا ببینند آیا محیط آنها آسیب پذیر است یا خیر.

تیم Sygnia نوشت: «علیرغم پیش‌نیازهای اساسی برای بهره‌برداری از آسیب‌پذیری مورد بحث، این حادثه تمایل گروه‌های تهدید پیچیده را به استفاده از تجهیزات شبکه – که اغلب به اندازه کافی محافظت و نظارت نمی‌شوند – برای حفظ دسترسی پایدار به شبکه نشان می‌دهد.

محیط های شبکه سخت

این حادثه همچنین «اهمیت حیاتی پایبندی به آن» را برجسته می‌کند امنیت به گفته Sygnia، که توصیه می‌کند سازمان‌ها محیط‌های خود را به روش‌های مختلف سخت‌تر کنند، بهترین شیوه‌ها به عنوان یک کاهش در برابر این نوع تهدید است.

این توصیه ها شامل محدود کردن دسترسی مدیر به تجهیزات شبکه با استفاده از a مدیریت دسترسی ممتاز (PAM) راه حل یا سرور اختصاصی، سخت شده، پرش با احراز هویت چند عاملی (MFA) اجرا شد. سازمان‌ها همچنین می‌توانند از احراز هویت مرکزی، مجوز، و مدیریت حسابداری برای کاربران برای کمک به ساده‌سازی و افزایش امنیت، به‌ویژه در محیط‌هایی با سوئیچ‌های متعدد استفاده کنند.

مدیران شبکه همچنین باید سوئیچ ها را از شروع اتصالات خروجی به اینترنت محدود کنند تا خطر سوء استفاده از آنها توسط تهدیدهای خارجی یا استفاده از آنها برای برقراری ارتباط با عوامل مخرب را کاهش دهند.

در نهایت، به‌عنوان یک قاعده کلی، سازمان‌ها نیز باید یک سیاست رمز عبور قوی را اعمال کنند و بهداشت رمز عبور را رعایت کنند تا پسوردها به دست اشتباه نیفتند، و همچنین حفظ کنند. برنامه های اصلاحی منظم برای به روز رسانی دستگاه ها و جلوگیری از آسیب پذیر ماندن آنها.


Source link