黑客使用有效的管理员凭据获得了对交换机的访问权限,然后从应用程序级别“越狱”到操作系统级别。
进一步的证据表明,经验丰富的攻击者越来越多地攻击边缘设备和网络设备,以提高隐身性和持久性:在这个案例中,一个名为“Velvet Ant”的黑客组织实力雄厚,但却鲜为人知。
2024 年 7 月 1 日,思科发布了一份公告,详细介绍了影响其 Nexus 交换机使用的 NX-OS 软件的 CLI 命令注入漏洞。
同一天,Sygnia 报告称发现该漏洞已被其追踪的黑客组织 Velvet Ant 使用。Sygnia 现已发布有关 Velvet Ant TTP 的更多信息。
Velvet Ant是 Sygnia 为该黑客组织的命名。该公司没有发现任何证据表明其他研究人员研究过该组织。
Velvet Ant攻击事件是老练攻击者通过边缘或网络设备攻击网络的典型案例。此类设备通常设计为黑匣子,用户访问权限有限,通常没有日志记录,安全堆栈也无法查看。成功攻击者的优势在于隐蔽性和持久性显著提高。
在一篇新博客文章中,Sygnia 描述了 Velvet Ant 多年来如何向网络基础设施的“更深、更黑暗”部分过渡,并最终危及思科交换机的安全。
Nexus 交换机运行 NX-OS。它具有分层架构,包括有限的 CLI“应用程序”级别和基于 Linux 的底层操作系统级别。授权管理员使用应用程序级别 CLI 执行网络管理任务,但不能(或不应该)直接访问受保护的操作系统级别。交换机的管理与操作系统分离,并受 CLI 的限制。操作系统级别处理核心系统功能、运行进程和管理对交换机操作至关重要的资源。
在可见性方面,操作系统层面发生的事情仍停留在操作系统层面——管理员和网络安全堆栈无法看到。“这些交换机设备不允许用户访问底层操作系统,因此几乎不可能扫描到入侵指标。”研究人员指出。
在这起事件中,Velvet Ant 首先使用有效的管理员凭据访问了交换机,然后从应用程序级别“越狱”(使用命令注入漏洞)进入操作系统级别。攻击者通过应用程序级别访问网络,并在操作系统级别实现隐藏持久性。
该漏洞编号为CVE-2024-20399,仍在等待 NVD 分析。思科公告将其评为中等严重性等级,漏洞描述为“思科 NX-OS 软件 CLI 中的漏洞可能允许拥有管理员凭据经过身份验证的用户在受影响设备的底层操作系统上以 root 身份执行任意命令。”
通过控制交换机,Velvet Ant 能够直接转向网络上的其他设备,而无需采用通常的横向移动方法——大多数不良行为者入侵都是通过这种方法检测到的。Velvet Ant 的目的是从事间谍活动。
研究人员表示:“这种访问使攻击者能够提升对交换机的控制权,使他们能够执行恶意脚本并操纵系统,超出预期的管理能力。”
该漏洞的发现是针对 Velvet Ant 间谍活动的大规模取证调查的一部分。在此期间,Sygnia 发现了使用有效管理凭据执行的可疑 Base64 编码命令。这些命令曾用于加载和执行二进制文件,并被追溯到交换机。
Velvet Ant 在利用后删除驻留证据。尽管如此,Sygnia 还是能够从设备内存中重建已使用的恶意软件。它将该恶意软件命名为 VelvetShell – 两种开源工具 TinyShell(Unix 后门)和 3proxy 的混合构造。
虽然这些工具长期以来一直被单独用于恶意目的,但 Velvet Ant 将它们整合到单个二进制文件中。在这种组合格式下,它可以执行任意命令、下载和上传文件,以及创建用于代理网络流量的隧道。简而言之,它对受感染系统提供了广泛的控制,既可以实现数据泄露,也可以实现持续访问。
最初的0day漏洞(现已被思科修补)并不容易利用。攻击者必须拥有网络访问权限和管理员凭据才能访问 Nexus 交换机。这种复杂性解释了为什么思科自己的公告中只给 Nexus 漏洞一个“中等”严重评级。
如果能做到这一点,攻击者可以利用该漏洞访问和控制交换机操作系统,并从那里访问和利用其他设备,同时保持对网络安全堆栈的隐藏。
转自军哥网络安全读报
暂无评论内容