Cisco NX-OS のゼロデイ悪用が発見される:カスタム・マルウェアの展開を警告

Cisco warns of NX-OS zero-day exploited to deploy custom malware

2024/07/01 BleepingComputer — Cisco が公表したのは、脆弱なスイッチに root 権限で未知のマルウェアをインストールするという、2024年4月の攻撃で悪用された、NX-OS のゼロデイ脆弱性 CVE-2024-20399 に対する修正である。サイバー・セキュリティ企業の Sygnia は、このインシデントを Cisco に報告し、同社が追跡している脅威アクター “Velvet Ant” による攻撃と関連付けた。Sygnia のインシデント対応の担当ディレクターである Amnon Kushnir は、「Velvet Ant として追跡している、中国由来のサイバー・スパイ・グループに関する大規模なフォレンジック調査中に、この悪用を検出した」と、 BleepingComputer に語っている。


さらに同社は、「この脅威アクターは、管理者レベルの認証情報を収集して、Cisco Nexus スイッチ製品群にアクセスした。そして、侵害したデバイスにリモートで接続して、追加ファイルをアップロードすることで、未知のカスタム・マルウェアを展開し、悪意のコード実行を可能にしていた」と述べている。

Cisco によると、この脆弱性 CVE-2024-20399 が、Admin 権限を持つローカルの攻撃者により悪用されると、脆弱なデバイスの基盤となる OS 上で、任意のコマンドが root 権限で実行される可能性があるという。

同社のアドバイザリには、「この脆弱性は、特定のコンフィグレーション CLI コマンドに渡される、引数の検証が不十分であることに起因する。攻撃者は、影響を受けるコンフィグ CLI コマンドの引数に、細工した入力を取り込むことで、その悪用を可能にする。悪用に成功した攻撃者は root 権限を取得し、OS 上での任意のコマンド実行を可能にする」と記されている。

影響を受けるデバイスには、脆弱性のある NX-OS ソフトウェアを実行している、以下のスイッチが含まれる:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • スタンドアロン NX-OS モードの Nexus 9000 Series Switches

さらに、この脆弱性を悪用する攻撃者は、システムの syslog メッセージをトリガーせずにコマンドを実行できるため、ハッキングした NX-OS デバイスにおける侵害の兆候を隠すことが可能になる。

Cisco からのユーザーへの警告は、network-admin/vdc-admin 管理ユーザーの資格情報を、定期的に監視して変更すべきというものだ。

ユーザー組織のネットワーク上のデバイスが、この脆弱性を狙う攻撃の対象に含まれるかどうかは、Cisco Software Checker で確認できる。

2024年4月にも Cisco は、国家に支援されるハッキング・グループ (UAT4356/STORM-1849) が、ArcaneDoor というキャンペーンを展開しているという警告を発していた。2023年11月以降において ArcaneDoor は、世界の政府機関のネットワークを標的としており、Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTD) ファイアウォールに存在する、ゼロデイ脆弱性 CVE-2024-20353/CVE-2024-20359 を悪用していた。

その頃の Cisco は、ハッカーが遅くとも 2023年7月以降において、ゼロデイ脆弱性を標的としたエクスプロイトが、ハッカーにより開発/テストされていた証拠も発見したと付け加えていた。

この脅威アクターは、一連の脆弱性を悪用して未知のマルウェアをインストールし、侵害した ASA/FTD デバイス上で永続性を維持していた。その一方で Cisco は、被害者のネットワークに侵入するために、攻撃者が用いたイニシャル攻撃ベクターは、依然として特定できていないと述べていた。

2024年6月に Sygnia が発表したのは、Velvet Ant によるサイバー・スパイ・キャンペーンで、F5 BIG-IP アプライアンスがカスタム・マルウェアの標的にされたというインシデントの情報である。このキャンペーンでは、被害者のネットワークへの永続的なアクセスを悪用され、検知を回避しながら3年間にわたり、顧客や金融に関する機密情報が秘密裏に盗み出されていた。

NX-OS のゼロデイ脆弱性 CVE-2024-20399 ですが、このブログでは拾っていませんでした。お隣のキュレーション・チームに聞いてみたところ、CWE-78 で、CVSS 値は 6.0 とのことでした。そして、Velvet Ant として追跡されている、中国由来のサイバー・スパイ・グループによる悪用が観測されているようなので、ご利用の組織は、十分に お気をつけください。