来自中国的网络间谍组织绒蚁Velvet Ant被发现活跃地利用一个关键的零日漏洞，该漏洞存在于Cisco的NXOS系统中。这款软件运行在各种Cisco交换机上，使其容易受到部署自定义恶意软件的攻击。了解更多资讯如下！

理解这一漏洞

这一漏洞被标识为CVE202420399，CVSS评分为60，允许命令注入漏洞。这意味著经过身份验证的本地攻击者可以在受影响设备的操作系统上以根权限执行任意命令。

Sygnia在对《骇客新闻》的声明中表示：“通过利用这个漏洞，绒蚁成功执行了此前未知的自定义恶意软件，使得该威胁组织能够远程连接到被攻陷的Cisco Nexus设备，上传额外的文件并在设备上执行代码。”

思科指出，该问题源于对特定配置CLI命令所传递参数的验证不足。攻击者可以通过将精心制作的输入作为配置CLI命令的参数进行利用。

此外，该漏洞允许管理员在不触发系统日志消息的情况下偷偷执行命令。这让攻击者能够隐藏他们在被攻陷设备上的行动。

Cisco零日漏洞的范围与影响

尽管这一漏洞的能力显著，但其严重性评级较低，因为攻击者必须拥有管理员凭据和特定配置命令的存取权。受影响设备包括：

绒蚁的历史可以追溯到至少一个月前，当时它们与对一个东亚组织的攻击有关，利用被攻陷的F5 BIGIP设备安静地窃取敏感数据。

Sygnia还强调：“网络设备，特别是交换机，通常不会受到监控，并且它们的日志常常不会转发到集中式日志系统。”这一监控缺口在检测和处理此类恶意活动上形成了巨大挑战。

此报告同时揭示了另一个被利用的关键漏洞。受影响的设备是DLink DIR859 WiFi路由器，其存在路径遍历问题CVE20240769，CVSS评分：98，可能导致信息泄露，暴露用户帐户详情。

最后的话

绒蚁集团利用思科NXOS软件中的零日漏洞凸显了对网络设备加强安全措施的迫切需求。组织必须主动监控网络设备的日志，并确保及时解决系统漏洞，以阻止此类复杂的网络威胁。

Anas Hasan

2024年7月2日

4个月前

Anas Hassan是一位技术极客和网络安全爱好者。他在数字转型行业拥有丰富的经验。当Anas不在写博客时，他会观看足球比赛。