Cisco-sårbarhet i CLI för Cisco NX-OS

Cisco har identifierat en sårbarhet för kommandoradsinjektion (CVE-2024-20399, CVSS 6.0) i sin nätverkshanteringsplattform för datacenterswitchar.

Sårbarheten, som redan har utnyttjats av den Kina-stödda hackergruppen Velvet Ant, gör det möjligt för autentiserade angripare att utföra godtyckliga kommandon som root på den drabbade enhetens underliggande operativsystem. Cisco uppmanar att alla kontrollerar och uppdaterar berörda enheter omedelbart.

Översikt över sårbarheter: CVE-2024-20399

Felet finns i CLI för Cisco NX-OS-programvaran på grund av otillräcklig validering av argument som skickas till specifika konfigurationskommandon. Den här sårbarheten påverkar flera Cisco-enheter, inklusive:

  1. MDS 9000-seriens Multilayer switchar.
  2. Switchar i Nexus 3000-, 5500-, 5600-, 6000-, 7000- och 9000-serien (i standalone NX-OS-mode).

Information om utnyttjande

Trots sitt medelhöga riskbetyg har Velvet Ant utnyttjat CVE-2024-20399 för att exekvera godtyckliga kommandon på Linux OS i Cisco Nexus-switchar. Med hjälp av giltiga administratörsautentiseringsuppgifter kringgick angriparna NX-OS CLI-kontexten för att få åtkomst till den underliggande Linux-miljön och distribuerade anpassad skadlig kod för fjärranslutning och kodkörning på komprometterade enheter.

Omedelbara patch-rekommendationer

Med tanke på den aktiva exploateringen bör patchning av denna sårbarhet prioriteras. Cisco har släppt uppdateringar för de berörda enheterna och alla berörda bör omedelbart tillämpa dessa korrigeringar. Använd Ciscos Software Checker för att avgöra om din miljö är sårbar.

Strategier för att minska effekterna

För att ytterligare minska risken för liknande sårbarheter:

  1. Begränsa administratörsåtkomst: Använd PAM-lösningar (Privileged Access Management) eller dedikerade, härdade hoppservrar med framtvingad MFA.
  2. Centraliserad hantering: Implementera central autentisering, auktorisering och redovisningshantering för att effektivisera säkerheten.
  3. Begränsa utgående anslutningar: Förhindra switchar från att initiera utgående anslutningar till Internet för att minska exploateringsriskerna.
  4. Principer för starka lösenord: Tillämpa robusta lösenordspolicyer och upprätthåll god lösenordshygien.
  5. Regelbunden patchning: Upprätthåll regelbundna patch-scheman för att säkerställa att enheterna uppdateras och inte lämnas sårbara.

Bredare kontext och Best practice

Den här incidenten understryker hur viktigt det är att skydda nätverksinstallationer. Sofistikerade hotgrupper som Velvet Ant riktar in sig på oskyddade switchar för att upprätthålla beständig nätverksåtkomst. Att följa best practice för säkerhet, till exempel de som rekommenderas av Sygnia, är viktigt för att försvara sig mot sådana hot.

För detaljerad information och ytterligare vägledning, se Cisco Advisories och följ deras patchningsinstruktioner för att skydda din nätverksinfrastruktur mot denna och liknande sårbarheter.

Källa: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cmd-injection-xD9OhyOP

Kontakta oss!
Svar inom 24h