Han surgido detalles de que un grupo de amenazas vinculado a China aprovechó una falla de seguridad recientemente revelada y ahora parcheada en los conmutadores de Cisco como un día cero para tomar el control del dispositivo y evadir la detección.
La actividad, atribuida a Velvet Ant, se observó a principios de este año e implicó el uso de CVE-2024-20399 (puntuación CVSS: 6.0) como arma para entregar malware personalizado y obtener un control generalizado sobre el sistema comprometido, facilitando tanto la exfiltración de datos como acceso persistente.
“El exploit de día cero permite a un atacante con credenciales de administrador válidas en la consola de administración del conmutador escapar de la interfaz de línea de comandos (CLI) de NX-OS y ejecutar comandos arbitrarios en el sistema operativo Linux subyacente”, dijo la empresa de ciberseguridad Sygnia en un comunicado. informe compartido con The Hacker News.
Velvet Ant llamó por primera vez la atención de los investigadores de la empresa israelí de ciberseguridad como parte de una campaña de varios años dirigida a una organización anónima ubicada en el este de Asia mediante la explotación de dispositivos F5 BIG-IP más antiguos como punto de observación para implementar la persistencia. el entorno comprometido.
La explotación sigilosa de la falla CVE-2024-20399 por parte de un actor malicioso se reveló a principios del mes pasado, lo que llevó a Cisco a publicar actualizaciones de seguridad para cerrar la falla.
Entre las técnicas utilizadas destaca el nivel de sofisticación y las tácticas de cambio de forma adoptadas por el grupo, que primero se infiltró en nuevos sistemas Windows antes de pasar a servidores y dispositivos de red Windows heredados en un intento de pasar desapercibido.
“El paso a operar desde dispositivos de red internos marca una mayor escalada en las técnicas de evasión utilizadas para garantizar la continuación de la campaña de espionaje”, dijo Sygnia.
La cadena de ataque final implica irrumpir en un conmutador Cisco utilizando la vulnerabilidad CVE-2024-20399 y realizar un reconocimiento, luego pasar a más dispositivos de red y, en última instancia, ejecutar un binario de puerta trasera utilizando un script malicioso.
La carga útil, denominada VELVETSHELL, es una fusión de dos herramientas de código abierto, una puerta trasera Unix llamada Tiny SHell y una utilidad proxy llamada 3proxy. También admite las capacidades de ejecutar comandos arbitrarios, descargar/cargar archivos y establecer túneles para el tráfico de red proxy.
“El modus operandi de Velvet Ant resalta los riesgos y las preguntas que rodean los dispositivos y aplicaciones de terceros que integran las empresas”, dijo la compañía. “Debido a la naturaleza de ‘caja negra’ de muchos dispositivos, cada pieza de hardware o software tiene el potencial de convertirse en una superficie de ataque que un adversario es capaz de explotar. »