Sommario
Recenti rapporti hanno rivelato che un gruppo di cyber spionaggio connesso alla Cina, noto come Velvet Ant, sta sfruttando una vulnerabilità zero-day nel software Cisco NX-OS per iniettare comandi dannosi e installare malware. Questo articolo esplora i dettagli della vulnerabilità, le misure di sicurezza consigliate e le implicazioni di questi attacchi.
Dettagli della Vulnerabilità CVE-2024-20399
La vulnerabilità, identificata come CVE-2024-20399 con un punteggio CVSS di 6.0, riguarda un caso di iniezione di comandi che consente a un attaccante autenticato di eseguire comandi arbitrari come root sul sistema operativo sottostante di un dispositivo compromesso. Questa falla è stata scoperta nei dispositivi Cisco NX-OS, utilizzati in vari modelli di switch.
| Dispositivi Impattati | Dettagli |
|---|---|
| MDS 9000 Series Multilayer Switches | Serie di switch multistrato per reti di data center |
| Nexus 3000 Series Switches | Switch di rete ad alte prestazioni per data center |
| Nexus 5500 Platform Switches | Piattaforma di switch per data center con alta densità |
| Nexus 5600 Platform Switches | Switch per data center con capacità di switching elevata |
| Nexus 6000 Series Switches | Serie di switch modulabili per data center |
| Nexus 7000 Series Switches | Switch modulari ad alte prestazioni per data center |
| Nexus 9000 Series Switches (standalone NX-OS mode) | Switch avanzati per data center con supporto per NX-OS |
Attacco del gruppo Velvet Ant
Il gruppo Velvet Ant ha utilizzato questa vulnerabilità per eseguire un malware personalizzato, permettendo loro di connettersi da remoto ai dispositivi Cisco Nexus compromessi, caricare file aggiuntivi ed eseguire codice sui dispositivi. Questo gruppo è noto per aver stabilito una persistenza utilizzando dispositivi F5 BIG-IP obsoleti per rubare informazioni sui clienti e dati finanziari.
Misure di sicurezza e consigli
Cisco ha fornito vari strumenti e risorse per aiutare i clienti a determinare la loro esposizione a queste vulnerabilità e implementare soluzioni di aggiornamento. Tra queste risorse c’è il Cisco Software Checker, che identifica gli avvisi di sicurezza che impattano una specifica versione del software e fornisce la prima versione che risolve tutte le vulnerabilità descritte negli avvisi.
Raccomandazioni
- Consultare regolarmente gli avvisi di sicurezza di Cisco: Per determinare l’esposizione e una soluzione completa di aggiornamento.
- Assicurarsi che i dispositivi abbiano sufficiente memoria: Verificare che le configurazioni hardware e software attuali siano supportate correttamente dalla nuova versione.
- Contattare il Cisco Technical Assistance Center (TAC): Per assistenza nel determinare la versione migliore del software Cisco NX-OS per uno specifico switch.
Uso del Cisco Software Checker
Cisco offre il Software Checker per aiutare i clienti a determinare la loro esposizione alle vulnerabilità nel software Cisco NX-OS. Questo strumento identifica gli avvisi di sicurezza che impattano una specifica versione del software e fornisce la versione più recente che risolve tutte le vulnerabilità descritte negli avvisi.
Passaggi per l’uso del Cisco Software Checker:
- Scegliere quali avvisi cercare: solo questo avviso, solo avvisi con una valutazione di impatto sulla sicurezza Critica o Alta, o tutti gli avvisi.
- Scegliere il software appropriato.
- Scegliere la piattaforma appropriata.
- Inserire un numero di versione, ad esempio, 7.0(3)I7(5) per Cisco Nexus 3000 Series Switches o 14.0(1h) per Cisco NX-OS Software in modalità ACI.
- Fare clic su Check.
La scoperta della vulnerabilità CVE-2024-20399 e l’attacco del gruppo Velvet Ant sottolineano l’importanza di mantenere aggiornati i dispositivi di rete e di implementare misure di sicurezza adeguate. L’uso di strumenti come il Cisco Software Checker e la consulenza con esperti di sicurezza può aiutare a mitigare i rischi associati a queste vulnerabilità.
