Los piratas informáticos Velvet Ant, que operan en el marco del nexo China-Nexus, explotaron el error en abril, dicen Cisco y SygniaRashmi Ramesh (rashmiramesh_) • 2 de julio de 2024 Imagen: Shutterstock Cisco reparó el lunes una vulnerabilidad de día cero descubierta hace meses que permitía a un pirata informático del nexo China ejecutar comandos arbitrarios como root en los dispositivos afectados. Ver también: Cierre el caso del ransomware El grupo de amenazas, denominado Velvet Ant, se conectó de forma remota al software NX-OS de Cisco utilizado en los conmutadores y ejecutó un código malicioso. El gigante de las redes atribuye el descubrimiento a la empresa de ciberseguridad Sygnia en un aviso. Identificada como CVE-2024-20399, la vulnerabilidad de inyección de comandos permite a un atacante local autenticado ejecutar comandos arbitrarios como root. Los dispositivos de red, en particular los conmutadores, a menudo no están supervisados ​​y sus registros no se envían con frecuencia a un sistema de registro centralizado. Según Sygnia, esto ya crea “retos significativos” a la hora de identificar e investigar actividades maliciosas, pero la falta de revisión de registros puede no haber sido un factor en este caso. La vulnerabilidad otorga al usuario privilegios de administrador para ejecutar comandos sin activar mensajes de syslog del sistema, lo que facilita ocultar la ejecución de comandos de shell. La vulnerabilidad tiene una calificación de 6 en la escala CVSS a pesar de sus capacidades de ejecución de código y el uso generalizado de los conmutadores Nexus de Cisco en entornos empresariales como centros de datos. La calificación es baja porque la mayoría de los conmutadores Nexus no están expuestos directamente a Internet, lo que significa que el atacante necesitaría tener ya acceso inicial al poseer credenciales de administrador y configuraciones de comandos específicas para que la explotación tenga éxito. A pesar de los requisitos previos necesarios para explotar la vulnerabilidad, el incidente “demuestra la tendencia de los grupos de amenazas sofisticados a aprovechar los dispositivos de red, que a menudo no están suficientemente protegidos y monitoreados, para mantener un acceso persistente a la red”, dijo Sygnia. El mes pasado, el actor de amenazas potencialmente patrocinado por un estado utilizó dispositivos F5 BIG-IP obsoletos para ejecutar malware personalizado con el fin de robar datos financieros y de clientes de una empresa no revelada del este de Asia, y la campaña pasó desapercibida durante tres años. Para la nueva vulnerabilidad, Cisco recomienda a las empresas cambiar las credenciales de administrador y monitorear la actividad como medida preventiva. Los administradores pueden verificar la exposición de sus dispositivos en la página del verificador de software. URL de la publicación original: https://www.databreachtoday.com/cisco-patches-exploited-zero-day-vulnerability-a-25682