根據國外資安媒體TheHackerNews的報道,名為Velvet Ant的中國APT駭客組織利用Cisco交換機中NX-OS軟體的零時差漏洞,編號為CVS-2024-20399 (CVSS評分: 6.0) 的命令注入漏洞,允許經過驗證的攻擊者以root身份,在受影響設備的底層作業系統上執行任意命令,傳播惡意軟體。
Velvet Ant於上個月首次被以色列網路安全公司紀錄在案,該事件涉及針對東亞一個未命名組織的網路攻擊,持續約三年,透過使用過時的F5 BIG-IP設備建立持久性,秘密竊取客戶和資料。
網路安全公司Sygnia表示「透過利用此漏洞,Velvet Ant 成功執行了一種以前未知的自訂惡意軟體,該惡意軟體允許威脅組織遠端連接到受感染的Cisco Nexus、上傳其他文件並在設備上執行代碼。網路設備,特別是交換機,通常不受監控,它們的日誌也經常不會轉發到集中式日誌系統。」”缺乏監控給識別和調查惡意活動帶來了重大挑戰。”
Cisco表示,該問題源於對傳遞給特定配置CLI命令的參數驗證不足,攻擊者可以透過精心設計的輸入作為受影響的配置CLI命令的參數來利用這些參數。更重要的是,它使具有管理員權限的使用者能夠在不觸發系統日誌訊息的情況下執行命令,從而可以隱藏被駭設備上shell命令的執行情況。
以下為受到CVE-2024-20399影響的Cisco交換機設備 :
- MDS 9000 系列多層交換機
- Nexus 3000 系列交換機
- Nexus 5000 平台交換機
- Nexus 5600 平台交換機
- Nexus 6000 系列交換機
- Nexus 7000 系列交換機
- 獨立NX-OS模式的Nexus 9000系列交換機
竣盟科技的LogMaster巨量日誌搜尋管理系統,透過設定關鍵字可主動查覺異常日誌紀錄,定期的智能監控日誌內容與收容狀況,主動分析告警讓資安管理人員找出異常行為,從而降低企業資安風險及減輕監控負擔。