CISA KEV 警告 24/07/02:Cisco NX-OS の脆弱性を悪用する中国由来の Velvet Ant

CISA Adds Cisco Nx-Os Command Injection Bug To Its Known Exploited Vulnerabilities Catalog

2024/07/08 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco NX-OS コマンド・インジェクション脆弱性 CVE-2024-20399 を、KEV カタログに 追加した。今週に Cisco は、NX-OS のゼロデイ脆弱性 CVE-2024-20399 (CVSS:6.0) 対処している。この脆弱性を悪用する中国由来の Velvet Ant が、root として未知のマルウェアを展開するために、脆弱なスイッチを悪用している。


この脆弱性は、Cisco NX-OS ソフトウェアの CLI に存在する。それを悪用する、認証されたローカル攻撃者は、影響を受けるデバイスの基礎となるオペレーティング・システム上で、root としての任意のコマンド実行を可能にする。

Cisco のアドバイザリには、「この脆弱性は、特定のコンフィグレーション CLI コマンドに渡される、引数の検証が不十分であることに起因する。影響を受けるコンフィグ CLI コマンドの引数に、細工された入力を取り込むことに成功した攻撃者は、この脆弱性の悪用を可能にする。そして、悪用に成功した攻撃者は、オペレーティング・システム上の root 権限で、任意のコマンドを実行することが可能になる」と記されている。

なお、同社は、管理者認証情報を持つ攻撃者のみが、Cisco NX-OS デバイス上で、この脆弱性の悪用を成功させるとも指摘している。

2024年4月に研究者たちが、この脆弱性が野放し状態で活発に悪用されていることを、Cisco Product Security Incident Response Team (PSIRT) に報告した。そして、サイバー。セキュリティ企業 Sygnia が、2024年4月に攻撃を観測し、Ciscoに報告している。

Sygnia は、「脆弱性 CVE-2024-20399 が、中国系の脅威グループにより、ゼロデイとして悪用されていることを特定し、その詳細を Cisco と共有した。この脆弱性を悪用する “Velvet Ant” と呼ばれる脅威グループは、Cisco Nexus デバイスの基本オペレーティング・システム上でコマンドを実行することに成功した。さらに、この脆弱性の悪用により、未知のカスタム・マルウェアが実行され、侵害された Cisco Nexus デバイスへのリモート接続が確立され、追加ファイルがアップロードされ、デバイス上でのコード実行にいたった」と述べている。

この脆弱性は、以下のデバイスに影響する:

  • MDS 9000 Series Multilayer Switches (CSCwj97007)
  • Nexus 3000 Series Switches (CSCwj97009)
  • Nexus 5500 Platform Switches (CSCwj97011)
  • Nexus 5600 Platform Switches (CSCwj97011)
  • Nexus 6000 Series Switches (CSCwj97011)
  • Nexus 7000 Series Switches (CSCwj94682) *
  • Nexus 9000 Series Switches in standalone NX-OS mode (CSCwj97009)

Cisco が推奨するのは、管理ユーザーである network-admin および vdc-admin の、認証情報の使用に対する監視である。

なお、Cisco は、対象となるデバイスにおける、この脆弱性の有無を確認するための、Cisco Software Checker を提供している。

BOD(Binding Operational Directive)22-01によると、FCEB 機関は、カタログに記載されている脆弱性を悪用する攻撃からネットワークを保護するために、特定された脆弱性に期日までに対処する必要がある。CISAは 連邦政府機関に対して、2024年7月23日までに、この脆弱性を修正するよう命じている。

さらに専門家たちは、民間組織もカタログを見直し、インフラの脆弱性に対処することを推奨している。

この脆弱性 CVE-2024-20399 ですが、2024/07/01 の「Cisco NX-OS のゼロデイ悪用が発見される:カスタム・マルウェアの展開を警告」で詳細が解説されています。また、Velvet Ant に関しては、2024/06/17 の「F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia」で、なかなかの凄腕ぶりが解説されています。よろしければ、CISA KEV ページも、ご利用ください。