Уязвимость в Cisco NX-OS подвергла компании риску: китайские хакеры уже использовали баг

Компания Cisco недавно обнаружила и устранила критическую уязвимость в своей операционной системе NX-OS, которая позволяла злоумышленникам устанавливать вредоносное ПО на коммутаторы. Этот баг, известный под идентификатором CVE-2024-20399, был замечен в апреле 2024 года и уже использовался хакерской группировкой Velvet Ant, которая действует в интересах китайских шпионов.

По данным Cisco, уязвимость связана с неправильной обработкой аргументов в командной строке NX-OS. Это позволило злоумышленникам, имеющим доступ к устройству как администраторы, выполнять произвольные команды с максимальными правами, что открыло широкие возможности для установки вредоносного ПО. Уязвимость затронула модели коммутаторов Cisco MDS 9000 и различные модели Nexus, включая 3000, 5500, 5600, 6000, 7000 и 9000.

Hack-группа Velvet Ant использовала эту уязвимость для создания устойчивого доступа к целевым сетям. Они могли удалённо подключаться к коммутаторам, загружать дополнительные вредоносные файлы и запускать произвольные команды. Эти действия были квалифицированы как часть кибершпионской деятельности.

Cisco быстро отреагировала на угрозу, выпустив обновления прошивок для всех затронутых моделей и сбросив активные сессии, чтобы пресечь дальнейшее использование уязвимости. Несмотря на то, что коммутаторы Nexus не имеют постоянного подключения к интернету, что усложняет эксплуатацию уязвимости, Velvet Ant смогла обойти эту защиту, используя уязвимость для получения долговременного доступа.