Last Updated on 2024-07-03 01:52 by admin
中国のAPTグループであるVelvet Antが、CiscoのNX-OSソフトウェアの脆弱性を悪用していることが明らかになった。この脆弱性は、認証済みの攻撃者が影響を受けたデバイスの基礎となるオペレーティングシステムで任意のコマンドを実行できる可能性があり、MDS 9000シリーズ、Nexus 3000シリーズ、Nexus 5500プラットフォームのスイッチが影響を受ける。Ciscoはこの脆弱性に対するアップデートをリリースしており、パッチ適用が推奨されている。
Velvet Antは、特定の脆弱性(CVE-2024-20399)を悪用して、Cisco NexusスイッチのLinux OS上で任意のコマンドを実行し、カスタムマルウェアを実行している。この攻撃により、脅威グループは侵害されたデバイスにリモートで接続し、追加のファイルをアップロードし、コードを実行できるようになった。
影響を受ける組織は、脆弱なデバイスのパッチ適用手順に従うべきである。また、特権アクセス管理(PAM)、マルチファクタ認証(MFA)、専用のハード化されたジャンプサーバーを使用してネットワーク機器への管理者アクセスを制限し、スイッチがインターネットへのアウトバウンド接続を開始しないように制限することが推奨される。さらに、強力なパスワードポリシーの実施と定期的なパッチスケジュールの維持も重要である。
【ニュース解説】
CiscoのNX-OSソフトウェアに存在する脆弱性が、中国のAPT(Advanced Persistent Threat、高度な持続的脅威)グループであるVelvet Antによって悪用されていることが判明しました。この脆弱性(CVE-2024-20399)は、認証済みの攻撃者が影響を受けたデバイスの基礎となるオペレーティングシステムで任意のコマンドを実行できるもので、特にデータセンターで使用されるCisco Nexusシリーズのスイッチに影響を及ぼします。
この脆弱性は、Cisco NX-OSソフトウェアのコマンドラインインターフェース(CLI)における特定の設定CLIコマンドへの引数の検証が不十分であることに起因しています。攻撃者は、影響を受ける設定CLIコマンドの引数として特別に作成された入力を含めることで、この脆弱性を悪用することが可能です。
Velvet Antによるこの脆弱性の悪用は、侵害されたCisco Nexusデバイスにリモートで接続し、追加のファイルをアップロードしてコードを実行することを可能にする、これまでに知られていないカスタムマルウェアの実行につながりました。この攻撃は、デバイスの基礎となるLinuxオペレーティングシステム上で任意のコマンドを実行するために、有効な管理者資格情報を使用しています。
この事例は、高度な脅威グループが、しばしば十分に保護されていないネットワーク機器を利用して持続的なネットワークアクセスを維持し、攻撃を実行する傾向があることを示しています。そのため、影響を受ける組織は、Ciscoが提供するパッチを適用し、脆弱性のあるデバイスを更新することが重要です。
さらに、組織はネットワーク環境を強化するために、特権アクセス管理(PAM)ソリューションの使用、マルチファクタ認証(MFA)の強制、専用のハード化されたジャンプサーバーを介したネットワーク機器への管理者アクセスの制限、およびスイッチがインターネットへのアウトバウンド接続を開始しないようにすることなど、セキュリティのベストプラクティスに従うことが推奨されます。
このような対策は、外部の脅威による悪用のリスクを減少させるだけでなく、悪意のあるアクターとの通信を防ぐためにも重要です。また、強力なパスワードポリシーの実施と定期的なパッチスケジュールの維持は、パスワードが悪用されるリスクを減少させ、デバイスを最新の状態に保つために不可欠です。
from Patch Now: Cisco Zero-Day Under Fire From Chinese APT.
