Los investigadores han revelado que los piratas informáticos respaldados por el estado chino explotaron una vulnerabilidad de día cero recientemente parcheada para comprometer los conmutadores Cisco Nexus. Cisco lanzó ayer un parche para CVE-2024-20399. La falla se encuentra en la CLI del software Cisco NX-OS y podría permitir que un atacante local autenticado ejecute comandos arbitrarios como root en un dispositivo objetivo. «Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos», señaló el aviso. «Un atacante podría explotar esta vulnerabilidad al incluir una entrada diseñada como argumento de un comando CLI de configuración afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios de root». Lea más sobre las amenazas de Cisco Nexus: La falla del conmutador empresarial de Cisco expone el tráfico cifrado Sin embargo, debido a que un atacante necesitaría privilegios de administrador y acceso a comandos de configuración específicos, el error solo recibe una puntuación CVSS de 6. Eso no impidió que el grupo de amenazas chino Velvet Ant explotara la vulnerabilidad en un ataque descubierto en abril, según el proveedor de seguridad Sygnia. “Esta explotación condujo a la ejecución de un malware personalizado previamente desconocido que permitió al grupo de amenazas conectarse de forma remota a dispositivos Cisco Nexus comprometidos, cargar archivos adicionales y ejecutar código en los dispositivos”, explicó. “A pesar de los importantes requisitos previos para explotar la vulnerabilidad comentada, este incidente demuestra la tendencia de los grupos de amenazas sofisticados a aprovechar los dispositivos de red, que a menudo no están suficientemente protegidos y monitoreados, para mantener un acceso persistente a la red; el incidente también subraya la importancia crítica de adherirse a las mejores prácticas de seguridad como una mitigación contra este tipo de amenaza”. Velvet Ant ha sido vinculado anteriormente a una sofisticada campaña de ciberespionaje de varios años en la que el grupo utilizó balanceadores de carga F5 BIG-IP comprometidos para la persistencia. Sygnia instó a los clientes de Cisco a mejorar su registro centralizado y la monitorización de la red relacionada con los conmutadores, y a fortalecer los sistemas con parches regulares, buena higiene de contraseñas y acceso de administrador restringido, entre otras medidas.