تم رصد مجموعة تجسس إلكتروني مقرها الصين تدعى Velvet Ant وهي تستغل ثغرة في برنامج Cisco NX-OS المستخدم في مفاتيحها لتوصيل البرامج الضارة.
تتعلق الثغرة الأمنية، التي تم تعقبها باسم CVE-2024-20399 (درجة CVSS: 6.0)، بحالة حقن أوامر تسمح لمهاجم محلي معتمد بتنفيذ أوامر عشوائية كجذر على نظام التشغيل الأساسي للجهاز المتأثر.
قالت شركة الأمن السيبراني Sygnia في بيان مشترك مع The Hacker News: “من خلال استغلال هذه الثغرة الأمنية، نفذت Velvet Ant بنجاح برنامجًا ضارًا مخصصًا غير معروف سابقًا والذي سمح لمجموعة التهديد بالاتصال عن بعد بأجهزة Cisco Nexus المخترقة، وتحميل ملفات إضافية، وتنفيذ التعليمات البرمجية على الأجهزة”.
قالت شركة سيسكو إن المشكلة تنبع من عدم التحقق الكافي من الوسائط التي يتم تمريرها إلى أوامر CLI الخاصة بالتكوين، والتي يمكن استغلالها من قبل الخصم عن طريق تضمين إدخال معد مسبقًا كوسيطة لأمر CLI الخاص بالتكوين المتأثر.
علاوة على ذلك، فهو يتيح للمستخدم الذي يتمتع بامتيازات المسؤول تنفيذ الأوامر دون إثارة رسائل Syslog للنظام، مما يجعل من الممكن إخفاء تنفيذ أوامر shell على الأجهزة المخترقة.
على الرغم من قدرات تنفيذ التعليمات البرمجية للخلل، فإن الخطورة المنخفضة ترجع إلى حقيقة أن الاستغلال الناجح يتطلب أن يكون المهاجم بالفعل في حوزته بيانات اعتماد المسؤول وأن يكون لديه حق الوصول إلى أوامر تكوين محددة. تتأثر الأجهزة التالية بثغرة CVE-2024-20399 –
مفاتيح متعددة الطبقات من سلسلة MDS 9000 ومفاتيح سلسلة Nexus 3000 ومفاتيح منصة Nexus 5500 ومفاتيح منصة Nexus 5600 ومفاتيح سلسلة Nexus 6000 ومفاتيح سلسلة Nexus 7000 ومفاتيح سلسلة Nexus 9000 في وضع NX-OS المستقل
تم توثيق Velvet Ant لأول مرة من قبل شركة الأمن السيبراني الإسرائيلية الشهر الماضي فيما يتعلق بهجوم إلكتروني استهدف منظمة لم يتم تسميتها تقع في شرق آسيا لمدة ثلاث سنوات تقريبًا من خلال إنشاء استمرارية باستخدام أجهزة F5 BIG-IP القديمة من أجل سرقة معلومات العملاء والمالية خفية.
“قال سيجنيا: “غالبًا ما لا تتم مراقبة أجهزة الشبكة، وخاصة المحولات، وغالبًا لا يتم إرسال سجلاتها إلى نظام تسجيل مركزي. ويؤدي هذا الافتقار إلى المراقبة إلى خلق تحديات كبيرة في تحديد الأنشطة الضارة والتحقيق فيها”.
يأتي هذا التطور في الوقت الذي يستغل فيه الجناة ثغرة أمنية حرجة تؤثر على أجهزة توجيه Wi-Fi DIR-859 من طراز D-Link (CVE-2024-0769، درجة CVSS: 9.8) – مشكلة في عبور المسار تؤدي إلى الكشف عن المعلومات – لجمع معلومات الحساب مثل الأسماء وكلمات المرور والمجموعات والأوصاف لجميع المستخدمين.
وقالت شركة GreyNoise المتخصصة في استخبارات التهديدات: “إن الاختلافات في الثغرة (…) تمكن من استخراج تفاصيل الحساب من الجهاز. والمنتج انتهى عمره الافتراضي، لذا لن يتم تصحيحه، مما يشكل مخاطر استغلال طويلة الأجل. ويمكن استدعاء ملفات XML متعددة باستخدام الثغرة”.
هل وجدت هذا المقال مثيرًا للاهتمام؟ تابعنا على تويتر ولينكدإن لقراءة المزيد من المحتوى الحصري الذي ننشره.
مصدر
