【 資安警訊 】- 中國駭客 Velvet Ant 濫用思科交換器零時差漏洞,目的是隱匿攻擊蹤跡
發布編號:OIS-CTI-2024-08-004
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
針對思科上個月修補的網路設備作業系統 NX-OS 零時差漏洞 CVE-2024-20399,最近研究人員公布利用漏洞的攻擊行動細節,並指出駭客成功利用後,會在交換器部署後門程式 VelvetShell
上個月思科公布網路設備作業系統 NX-OS 的零時差漏洞 CVE-2024-20399,此為命令列介面 (CLI)的命令注入漏洞,攻擊者可在通過身分驗證的情況下,在本機以 root 的權限,於目標裝置的底層作業系統執行任意命令,早在 4 月,就接到其他廠商通報出現漏洞濫用攻擊,最近這家資安公司的研究人員公布利用漏洞的攻擊行動細節,並指出駭客得逞後,會在交換器部署後門程式 VelvetShell。
Sygnia 是在今年初看到這些駭客利用漏洞破壞、控制思科交換器設備,而能在受害企業以近乎隱形的方式從事活動。由於這項漏洞能讓可存取主控臺的管理者逃脫 NX-OS 的命令列介面(CLI),並在底層的 Linux 作業系統執行命令,這些駭客一旦成功利用漏洞,就會部署名為VelvetShell的惡意軟體,駭客以公開的後門程式 Tiny Shell 及代理伺服器程式 3Proxy 打造而成,具備執行命令的功能,並讓駭客能上傳或下載檔案,還能透過代理伺服器機制建立網路隧道,進而隱匿攻擊行動。
在執行惡意程式之前,駭客先複製 curl 執行檔並重新命名為 ufdm,然後透過 LD_PRELOAD 環境變數用於載入 ufdm.so,並將相關程式碼注入特定處理程序,這麼做的目的,其實是要將惡意程式的執行,偽裝成思科交換器的處理程序。
接著,這些駭客下達 ps 及 netstat 命令,檢查正在運作的處理程序及網路連線,藉此控制惡意軟體執行的流程。最後駭客在作案完成後,刪除了ufdm 及ufdm.so,企圖抹除作案痕跡。
對於這項零時差漏洞攻擊的發現,研究人員指出,他們長期觀察 Velvet Ant 的活動,這些駭客先是針對一般 Windows 工作站電腦及伺服器下手,後來鎖定執行舊版作業系統的設備,使得受害組織難以察覺他們的蹤跡。接著,這些駭客進一步利用 F5 負載平衡設備維持活動,如今則是將思科交換器設備當作活動據點。這一連串的變化,突顯駭客組織的手法出現轉變,偏好從網路設備尋求未知漏洞,從而占據設備做為進出受害組織的主要管道。
影響設備:
Cisco
影響型號:
MDS 9000
Nexus 3000、5500、5600、6000、7000
獨立 NX-OS 模式的 Nexus 9000
官方建議措施:
思科發布新版軟體來進行修補,並強調沒有其他可用的緩解措施,呼籲 IT 人員要儘速套用。
參考連結:
https://www.ithome.com.tw/news/164654