Lunedì, Cisco ha annunciato l’uscita di patch per una vulnerabilità zero-day di media gravità nel software NX-OS, sfruttata da un attore di minacce di cyber-spionaggio collegato alla Cina.
Classificata come CVE-2024-20399 (punteggio CVSS di 6), il difetto di sicurezza interessa l’interfaccia a riga di comando di NX-OS e potrebbe consentire a un attaccante locale di eseguire comandi arbitrari sul sistema operativo sottostante con privilegi di root.
“Questa vulnerabilità è dovuta alla validazione insufficiente degli argomenti passati a specifici comandi di configurazione CLI. Un attaccante potrebbe sfruttare questa vulnerabilità includendo input manipolati come argomento di un comando CLI di configurazione interessato”, spiega Cisco in un avviso.
Il gigante tecnologico sottolinea inoltre che un attaccante deve essere autenticato come amministratore su un dispositivo vulnerabile per poter sfruttare con successo questo bug.
“Nell’aprile 2024, il Cisco Product Security Incident Response Team (PSIRT) è venuto a conoscenza di tentativi di sfruttamento di questa vulnerabilità in natura”, osserva Cisco.
CVE-2024-20399 interessa gli switch della serie MDS 9000, Nexus 3000, piattaforma Nexus 5500, piattaforma Nexus 5600, serie Nexus 6000, serie Nexus 7000 e serie Nexus 9000 di Cisco. Il gigante tecnologico ha rilasciato aggiornamenti firmware per tutti i prodotti interessati.
La vulnerabilità è stata scoperta e segnalata dall’azienda di cybersecurity Sygnia, che ha osservato il suo utilizzo in una campagna di cyber-spionaggio attribuita a un attore di minacce collegato alla Cina, denominato ‘Velvet Ant’.
Il mese scorso, Sygnia ha rivelato che Velvet Ant è stato visto mantenere l’accesso alla rete di un’organizzazione per anni compromettendo apparecchiature legacy F5 BIG-IP esposte su Internet e distribuendo più strumenti per inoltrare la comunicazione di comando e controllo (C&C).
“Velvet Ant ha utilizzato apparecchiature F5 BIG-IP obsolete come server di comando e controllo (C&C) interni per rimanere sotto il radar, cercando di mantenere più punti di accesso alla rete target e ottenere metodicamente dati privati, inclusi informazioni finanziarie e sui clienti”, ha detto Sygnia.
Il gruppo di hacker ha sfruttato il bug Cisco NX-OS per eseguire malware precedentemente sconosciuto sui dispositivi interessati, connettendosi a essi da remoto, caricando file aggiuntivi ed eseguendo ulteriore codice.
L’azienda di cybersecurity spiega che la vulnerabilità può essere sfruttata solo se l’attaccante ha accesso alla rete al dispositivo vulnerabile ed è in possesso delle credenziali di amministratore.
“Poiché la maggior parte degli switch Nexus non sono direttamente esposti a Internet, un gruppo di minacce deve prima ottenere l’accesso iniziale alla rete interna dell’organizzazione per sfruttare questa vulnerabilità. Di conseguenza, il rischio complessivo per le organizzazioni è ridotto dalla difficoltà intrinseca di ottenere l’accesso necessario”, spiega Sygnia.
Tuttavia, l’azienda di cybersecurity sottolinea anche che, nonostante le difficoltà nel sfruttare vulnerabilità come CVE-2024-20399, gli attori di minacce sofisticati, come Velvet Ant, tendono a mirare ad apparecchiature di rete insufficientemente protette per un accesso persistente agli ambienti aziendali.
“L’aggiornamento dei sistemi dei dispositivi interessati è la principale strategia di mitigazione per i dispositivi con licenza. Nei casi in cui gli aggiornamenti software non sono disponibili, questo incidente dimostra l’importanza critica di adottare le migliori pratiche di sicurezza per prevenire l’accesso ai dispositivi fin dall’inizio”, osserva Sygnia.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!
