思科:可获 root 权限的思科 NX-OS 零日漏洞修复已发布

思科修补了 4 月份曝出的 NX-OS 零日漏洞,威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份,安装未知恶意软件。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科思科:可获 root 权限的思科 NX-OS 零日漏洞修复已发布

网络安全公司 Sygnia 发现并向思科方面报告了安全漏洞事件,威胁攻击者利用安全漏洞进入受害者内部系统后,收集了大量的管理员级的凭据,一边可以随时访问思科 Nexus 交换机,部署了一个此前未出现过的定制化恶意软件。

此后,威胁攻击者利用这一”渠道“,便可以轻松的远程连接到受害者的设备,上传额外文件并执行恶意代码。

接到漏洞通知后,思科方面立刻做出回应,指出具有管理员权限的本地威胁攻击者可以利用安全漏洞(跟踪为 CVE-2024-20399),在易受攻击设备的底层操作系统上以 root 权限执行任意命令。

此外,思科相关负责人还指出,CVE-2024-20399 安全漏洞是对传递给特定配置 CLI 命令的参数验证不足造成的,使威胁攻击者能够通过将精心制作的输入作为受影响的配置 CLI 命令的参数,从而利用这一安全漏洞。

一旦威胁攻击者成功利用该安全漏洞后,就可以以 root 权限在底层操作系统上执行任意命令。

受影响设备的列表包括多个运行易受攻击的 NX-OS 软件的交换机:

  1. MDS 9000 系列多层交换机;
  2. Nexus 3000 系列交换机;
  3. Nexus 5500 平台交换机;
  4. Nexus 5600 平台交换机;
  5. Nexus 6000 系列交换机;
  6. Nexus 7000 系列交换机;
  7. 独立 NX-OS 模式下的 Nexus 9000 系列交换机。

威胁攻击者还可以利用 CVE-2024-20399 安全漏洞,在不触发系统 syslog 消息的情况下执行命令,从而使其能够在被攻击的 NX-OS 设备上隐藏入侵迹象。

因此,思科方面强烈建议客户应当定期监控和更改 network-admin 和 vdc-admin 管理用户的凭证。

今年 4 月,思科曾警告称,自 2023 年 11 月以来,一个由国家支持的黑客组织(被追踪为 UAT4356 和 STORM-1849)一直在利用 Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 防火墙中的多个零日漏洞(CVE-2024-20353 和 CVE-2024-20359),针对全球政府网络开展名为 ArcaneDoor 的活动。

当时,斯克公司多次强调,安全研究人员还发现有证据表明,威胁攻击者至少从 2023 年 7 月起就针对这些零日安全漏洞测试和开发了漏洞利用程序。之后,威胁攻击者利用这些安全漏洞安装了未知的恶意软件,使其能够在被入侵的 ASA 和 FTD 设备上留下“后门”。

值得一提的是,思科指出尚未确定威胁攻击者用来入侵受害者网络的初始攻击载体。

上个月,Sygnia 称 Velvet Ant 在一次网络间谍活动中利用定制恶意软件攻击了 F5 BIG-IP 设备,在这次攻击活动中,威胁攻击者利用对受害者网络的持续访问,在长达三年的时间里“偷偷”窃取了大量的敏感客户和财务信息。


转自Freebuf,原文链接:https://www.freebuf.com/news/404980.html

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞13 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容