يستغل المتسللون الصينيون ثغرة Zero-Day Cisco Switch للتحكم في النظام

22 أغسطس 2024رافي لاكشمانانأمن الشبكات / يوم الصفر

ظهرت تفاصيل حول استغلال مجموعة التهديدات الصينية لثغرة أمنية تم الكشف عنها مؤخرًا وتم تصحيحها الآن في محولات Cisco باعتبارها يوم صفر للسيطرة على الجهاز وتجنب الاكتشاف.

تمت ملاحظة هذا النشاط، المنسوب إلى Velvet Ant، ​​في وقت مبكر من هذا العام وتضمن تسليح CVE-2024-20399 (درجة CVSS: 6.0) لتقديم برامج ضارة مخصصة والحصول على تحكم شامل في النظام المخترق، مما يسهل استخراج البيانات والوصول المستمر.

وقالت شركة Sygnia للأمن السيبراني في بيان: “إن استغلال يوم الصفر يسمح للمهاجم الذي لديه بيانات اعتماد مسؤول صالحة لوحدة التحكم في إدارة Switch بالهروب من واجهة سطر أوامر NX-OS (CLI) وتنفيذ أوامر عشوائية على نظام التشغيل Linux الأساسي”. تقرير تمت مشاركتها مع The Hacker News.

لفتت Velvet Ant انتباه الباحثين في شركة الأمن السيبراني الإسرائيلية لأول مرة فيما يتعلق بحملة متعددة السنوات استهدفت منظمة لم يذكر اسمها تقع في شرق آسيا من خلال الاستفادة من أجهزة F5 BIG-IP القديمة كنقطة انطلاق لتحقيق الثبات في البيئة المعرضة للخطر. .

ظهر الاستغلال الخفي للتهديد CVE-2024-20399 إلى النور في أوائل الشهر الماضي، مما دفع شركة Cisco إلى إصدار تحديثات أمنية لكشف الخلل.

ومن أبرز هذه الحرفة مستوى التطور وتكتيكات تغيير الشكل التي اعتمدتها المجموعة، حيث تسللت في البداية إلى أنظمة Windows الجديدة قبل الانتقال إلى خوادم Windows القديمة وأجهزة الشبكة في محاولة للتحليق تحت الرادار.

وقال سيغنيا إن “الانتقال إلى العمل من أجهزة الشبكة الداخلية يمثل تصعيدا آخر في تقنيات التهرب المستخدمة لضمان استمرار حملة التجسس”.

تستلزم سلسلة الهجوم الأحدث اقتحام جهاز تبديل Cisco باستخدام CVE-2024-20399 وإجراء أنشطة استطلاع، ثم التحول بعد ذلك إلى المزيد من أجهزة الشبكة، وفي النهاية تنفيذ باب خلفي ثنائي عن طريق برنامج نصي ضار.

الحمولة، التي يطلق عليها اسم VELVETSHELL، عبارة عن مزيج من أداتين مفتوحتين المصدر، باب خلفي لنظام Unix يُسمى Tiny SHell وأداة مساعدة للوكيل تسمى 3proxy. كما أنه يدعم إمكانيات تنفيذ الأوامر التعسفية، وتنزيل/تحميل الملفات، وإنشاء أنفاق لتفويض حركة مرور الشبكة.

وقالت الشركة: “إن طريقة عمل “Velvet Ant” تسلط الضوء على المخاطر والأسئلة المتعلقة بأجهزة وتطبيقات الطرف الثالث التي تستخدمها المؤسسات”. “نظرًا لطبيعة “الصندوق الأسود” للعديد من الأجهزة، فإن كل قطعة من الأجهزة أو البرامج لديها القدرة على التحول إلى سطح هجوم يستطيع الخصم استغلاله.”