Cisco cảnh báo về lỗ hổng zero-day đang bị tin tặc khai thác

- Cisco đã vá một lỗ hổng zero-day của NX-OS đã bị khai thác trong các cuộc tấn công vào tháng 4 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.

Công ty an ninh mạng Sygnia, đơn vị đã báo cáo lỗ hổng với Cisco, đã quy kết các cuộc tấn công với một tác nhân đe dọa do nhà nước Trung Quốc hậu thuẫn mà họ đang theo dõi dưới tên Velvet Ant.

Sygnia cho biết họ "đã phát hiện hành vi khai thác này trong quá trình điều tra về nhóm gián điệp mạng có liên hệ với Trung Quốc mà chúng tôi đang theo dõi với tên gọi Velvet Ant".

"Những kẻ tấn công đã thu thập thông tin xác thực của người dùng quản trị để truy cập vào các thiết bị chuyển mạch Cisco Nexus và triển khai phần mềm độc hại tùy chỉnh chưa từng được biết đến trước đó, cho phép chúng kết nối từ xa đến các thiết bị bị xâm phạm, tải lên các tệp bổ sung và thực thi mã độc hại".

Cisco cho biết lỗ hổng (được định danh CVE-2024-20399) có thể bị kẻ tấn công cục bộ có quyền Quản trị viên khai thác để thực thi các lệnh tùy ý với quyền root trên các thiết bị bị ảnh hưởng.

Cisco giải thích rằng: "Lỗ hổng này do thiếu kiểm tra, sàng lọc tham số được truyền vào các lệnh CLI cấu hình cụ thể. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách truyền vào dữ liệu độc hại làm đối số cho câu lệnh CLI cấu hình bị ảnh hưởng".

Danh sách các thiết bị bị ảnh hưởng bao gồm nhiều thiết bị chuyển mạch đang chạy phần mềm NX-OS dễ bị tấn công:

- MDS 9000 Series Multilayer Switches

- Nexus 3000 Series Switches

- Nexus 5500 Platform Switches

- Nexus 5600 Platform Switches

- Nexus 6000 Series Switches

- Nexus 7000 Series Switches

- Nexus 9000 Series Switches in standalone NX-OS mode

Lỗ hổng này cũng cho phép kẻ tấn công thực thi lệnh mà không kích hoạt thông báo syslog của hệ thống, do đó cho phép chúng che giấu hành vi xâm phạm trên các thiết bị NX-OS bị tấn công.

Cisco khuyến nghị khách hàng nên thường xuyên theo dõi và thay đổi thông tin đăng nhập của người dùng quản trị network-admin và vdc-admin.

Quản trị viên có thể sử dụng trang Cisco Software Checker để xác định xem các thiết bị của họ có bị ảnh hưởng bởi CVE-2024-20399 hay không.

Vào tháng 4, Cisco cũng cảnh báo rằng một nhóm tin tặc được nhà nước hậu thuẫn (được theo dõi với tên UAT4356 và STORM-1849) đã khai thác nhiều lỗ hổng zero-day (CVE-2024-20353 và CVE-2024-20359) trong tường lửa (firewall) Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11 năm 2023 trong một chiến dịch có tên ArcaneDoor nhắm vào các tổ chức chính phủ trên toàn thế giới.

Tháng trước, Sygnia cho biết Velvet Ant đã nhắm mục tiêu vào các thiết bị F5 BIG-IP bằng phần mềm độc hại tùy chỉnh trong một chiến dịch gián điệp mạng. Chúng đã sử dụng quyền truy cập liên tục vào mạng của nạn nhân để lén lút đánh cắp thông tin tài chính và thông tin nhạy cảm của khách hàng trong ba năm.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)