02 de julio de 2024Sala de prensaEspionaje cibernético / Vulnerabilidad Se ha observado que un grupo de espionaje cibernético con nexo con China llamado Velvet Ant explota una falla de día cero en el software Cisco NX-OS utilizado en sus conmutadores para distribuir malware. La vulnerabilidad, identificada como CVE-2024-20399 (puntuación CVSS: 6.0), se refiere a un caso de inyección de comandos que permite a un atacante local autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado. «Al explotar esta vulnerabilidad, Velvet Ant ejecutó con éxito un malware personalizado previamente desconocido que permitió al grupo de amenazas conectarse de forma remota a dispositivos Cisco Nexus comprometidos, cargar archivos adicionales y ejecutar código en los dispositivos», dijo la firma de ciberseguridad Sygnia en una declaración compartida con The Hacker News. Cisco dijo que el problema se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos, que podrían ser explotados por un adversario al incluir una entrada diseñada como argumento de un comando CLI de configuración afectado. Además, permite que un usuario con privilegios de administrador ejecute comandos sin activar mensajes de registro del sistema, lo que permite ocultar la ejecución de comandos de shell en dispositivos pirateados. A pesar de las capacidades de ejecución de código de la falla, la menor gravedad se debe al hecho de que para explotarla con éxito es necesario que el atacante ya esté en posesión de credenciales de administrador y tenga acceso a comandos de configuración específicos. Los siguientes dispositivos se ven afectados por CVE-2024-20399: conmutadores multicapa de la serie MDS 9000, conmutadores de la serie Nexus 3000, conmutadores de la plataforma Nexus 5500, conmutadores de la plataforma Nexus 5600, conmutadores de la serie Nexus 6000, conmutadores de la serie Nexus 7000 y conmutadores de la serie Nexus 9000 en modo NX-OS independiente Velvet Ant fue documentado por primera vez por la empresa de ciberseguridad israelí el mes pasado en relación con un ciberataque dirigido a una organización anónima ubicada en el este de Asia durante un período de aproximadamente tres años mediante el establecimiento de persistencia utilizando dispositivos F5 BIG-IP obsoletos para robar de forma sigilosa información financiera y de clientes. «Los dispositivos de red, en particular los conmutadores, a menudo no se monitorean y sus registros con frecuencia no se envían a un sistema de registro centralizado», dijo Sygnia. «Esta falta de monitoreo crea desafíos significativos para identificar e investigar actividades maliciosas». El desarrollo se produce cuando los actores de amenazas están explotando una vulnerabilidad crítica que afecta a los enrutadores Wi-Fi D-Link DIR-859 (CVE-2024-0769, puntuación CVSS: 9.8) -un problema de recorrido de ruta que conduce a la divulgación de información- para recopilar información de cuentas, como nombres, contraseñas, grupos y descripciones de todos los usuarios. «Las variaciones del exploit […] «El producto ya no está disponible, por lo que no se aplicarán parches, lo que plantea riesgos de explotación a largo plazo. Se pueden invocar varios archivos XML utilizando la vulnerabilidad», afirmó la firma de inteligencia de amenazas GreyNoise. «Este artículo le resultó interesante. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.