22 de agosto de 2024Ravie LakshmananSeguridad de redes / Zero-Day Han surgido detalles sobre la explotación por parte de un grupo de amenazas con nexo con China de una falla de seguridad recientemente divulgada y ahora parcheada en los conmutadores Cisco como un día cero para tomar el control del dispositivo y evadir la detección. La actividad, atribuida a Velvet Ant, se observó a principios de este año e implicó la utilización de CVE-2024-20399 (puntuación CVSS: 6.0) como arma para distribuir malware a medida y obtener un amplio control sobre el sistema comprometido, lo que facilita tanto la exfiltración de datos como el acceso persistente. «El exploit de día cero permite a un atacante con credenciales de administrador válidas para la consola de administración del conmutador escapar de la interfaz de línea de comandos (CLI) de NX-OS y ejecutar comandos arbitrarios en el sistema operativo Linux subyacente», dijo la empresa de ciberseguridad Sygnia en un informe compartido con The Hacker News. Velvet Ant llamó la atención de los investigadores de la empresa israelí de ciberseguridad en relación con una campaña de varios años dirigida a una organización anónima ubicada en el este de Asia, aprovechando los dispositivos heredados F5 BIG-IP como punto de observación para establecer la persistencia en el entorno comprometido. La explotación sigilosa de CVE-2024-20399 por parte del actor de amenazas salió a la luz a principios del mes pasado, lo que llevó a Cisco a emitir actualizaciones de seguridad para liberar la falla. Entre las técnicas de ataque, cabe destacar el nivel de sofisticación y las tácticas de cambio de forma adoptadas por el grupo, que inicialmente se infiltró en los nuevos sistemas Windows antes de pasar a los servidores y dispositivos de red de Windows heredados en un intento de pasar desapercibidos. «La transición a operar desde dispositivos de red internos marca otra escalada en las técnicas de evasión utilizadas para garantizar la continuación de la campaña de espionaje», dijo Sygnia. La última cadena de ataques implica entrar en un dispositivo de conmutación Cisco utilizando CVE-2024-20399 y realizar actividades de reconocimiento, para luego pasar a más dispositivos de red y, en última instancia, ejecutar un binario de puerta trasera mediante un script malicioso. La carga útil, denominada VELVETSHELL, es una amalgama de dos herramientas de código abierto, una puerta trasera Unix llamada Tiny SHell y una utilidad de proxy llamada 3proxy. También admite capacidades para ejecutar comandos arbitrarios, descargar/cargar archivos y establecer túneles para el tráfico de red mediante proxy. «El modus operandi de ‘Velvet Ant’ destaca los riesgos y las preguntas sobre los dispositivos y aplicaciones de terceros que las organizaciones incorporan», dijo la empresa. «Debido a la naturaleza de ‘caja negra’ de muchos dispositivos, cada pieza de hardware o software tiene el potencial de convertirse en la superficie de ataque que un adversario puede explotar». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.