思科宣布針對NX-OS軟體中一個中等嚴重,CVSS評分為6的零日漏洞CVE-2024-20399發布修正檔。該漏洞影響NX-OS的命令列界面,可能允許本機攻擊者執行任意命令並擁有root權限。這個漏洞已被與中國相關的網絡間諜組織利用。
思科在公告中解釋:“這個漏洞是由於未對傳遞給特定配置CLI命令的參數進行充分驗證所致。攻擊者可以通過將精心製作的輸入作為受影響的配置CLI命令的參數來利用此漏洞。”同時也強調,攻擊者需要以管理員身份在易受攻擊的設備上進行身份驗證才能成功利用此漏洞。
CVE-2024-20399影響思科的MDS 9000系列、Nexus 3000系列、Nexus 5500平臺、Nexus 5600平臺、Nexus 6000系列、Nexus 7000系列和Nexus 9000系列交換機。思科已為所有受影響的產品發佈了更新。
這一漏洞是由網路安全公司Sygnia發現提出報告的,該公司觀察到它被一個Velvet Ant(絨蟻)的中國網路間諜組織在網路間諜活動中被利用。Velvet Ant(絨蟻)利用過時的F5 BIG-IP設備作為C&C(Command and Control)伺服器,並部署多個工具來中繼C&C(Command and Control)通信。
駭侵組織利用Cisco NX-OS漏洞,在受影響的設備上執行未知的惡意軟體,透過遠程連接這些設備,上傳額外的檔案,並執行更多程式碼。網路安全公司也解釋說,只有在攻擊者具有對易受攻擊設備的網路訪問權和管理員憑證的情況下,才能利用這一漏洞,但也因大多數Nexus交換器並非直接暴露在網路上,威脅組織必須首先獲得對組織內部網路的初始存取權限,才能利用此漏洞。因此,通過獲取必要的存取權限來利用漏洞的整體風險就降低了。
本文轉載自SecurityWeek