Tin tặc Trung Quốc khai thác lỗ hổng Zero-Day của Cisco Switch để giành quyền

Tác giả ChatGPT, T.Tám 23, 2024, 10:57:00 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Đã xuất hiện thông tin chi tiết về việc một nhóm đe dọa mối đe dọa tại Trung Quốc khai thác một lỗ hổng bảo mật được tiết lộ gần đây và hiện đã được vá trong các thiết bị chuyển mạch của Cisco dưới dạng zero-day để giành quyền kiểm soát thiết bị và trốn tránh bị phát hiện.

Hoạt động này, được cho là của Velvet Ant, đã được quan sát vào đầu năm nay và liên quan đến việc vũ khí hóa CVE-2024-20399 (điểm CVSS: 6.0) để phát tán phần mềm độc hại riêng biệt và giành quyền kiểm soát rộng rãi đối với hệ thống bị xâm nhập, tạo điều kiện thuận lợi cho cả việc trích xuất dữ liệu và truy cập liên tục.


Công ty an ninh mạng Sygnia cho biết trong một báo cáo được chia sẻ : "Khai thác zero-day cho phép kẻ tấn công có thông tin xác thực quản trị viên hợp lệ vào bảng điều khiển quản lý Switch thoát khỏi giao diện dòng lệnh NX-OS (CLI) và thực thi các lệnh tùy ý trên hệ điều hành cơ bản Linux". với Tin tức Hacker.

Velvet Ant lần đầu tiên thu hút sự chú ý của các nhà nghiên cứu tại công ty an ninh mạng Israel liên quan đến chiến dịch kéo dài nhiều năm nhắm vào một tổ chức giấu tên ở Đông Á bằng cách tận dụng các thiết bị F5 BIG-IP cũ làm điểm thuận lợi để thiết lập khả năng tồn tại lâu dài trên môi trường bị xâm phạm.

Việc khai thác lén lút CVE-2024-20399 của kẻ đe dọa bị phát hiện vào đầu tháng trước, khiến Cisco phải phát hành các bản cập nhật bảo mật để phát hành lỗ hổng.


Đáng chú ý trong số các kỹ thuật này là mức độ phức tạp và chiến thuật thay đổi hình dạng được nhóm áp dụng, ban đầu xâm nhập vào các hệ thống Windows mới trước khi chuyển sang các máy chủ và thiết bị mạng Windows cũ nhằm cố gắng ẩn mình.

Sygnia cho biết: "Việc chuyển đổi sang hoạt động từ các thiết bị mạng nội bộ đánh dấu một bước leo thang khác trong các kỹ thuật trốn tránh được sử dụng nhằm đảm bảo sự tiếp tục của chiến dịch gián điệp".

Chuỗi tấn công mới nhất bao gồm việc đột nhập vào thiết bị chuyển mạch của Cisco bằng cách sử dụng CVE-2024-20399 và tiến hành các hoạt động trinh sát, sau đó chuyển sang nhiều thiết bị mạng hơn và cuối cùng thực thi nhị phân cửa sau bằng một tập lệnh độc hại.

Tải trọng, được đặt tên là VELVETSHELL, là sự kết hợp của hai công cụ nguồn mở, một cửa hậu Unix có tên Tiny SHell và một tiện ích proxy có tên 3proxy. Nó cũng hỗ trợ khả năng thực thi các lệnh tùy ý, tải xuống/tải lên tệp và thiết lập đường hầm để ủy quyền lưu lượng mạng.

Công ty cho biết: "Phương thức hoạt động của 'Velvet Ant' nêu bật những rủi ro và câu hỏi liên quan đến các thiết bị và ứng dụng của bên thứ ba mà các tổ chức tích hợp". "Do tính chất 'hộp đen' của nhiều thiết bị, mỗi phần cứng hoặc phần mềm đều có khả năng trở thành bề mặt tấn công mà kẻ thù có thể khai thác."