Китайцы взламывают устройства Cisco, используя малоопасную уязвимость
Шестибалльный баг в интерфейсе командной строки в маршрутизаторах Cisco позволял запускать произвольные команды на уровне подлежащей операционной системы – при наличии административных реквизитов. Как выяснилось, добыть эти реквизиты хакеры сумели.
Вошли туда, пройдем и дальше
Одна из китайских хакерских групп активно использовала уязвимость в маршрутизаторах Cisco еще до того, как о ней узнал сам вендор. Уязвимость была оценена всего в 6 баллов по шкале CVSS, что, однако, не помешало ее практическому использованию в целях захвата контроля над устройствами.
Эксплойт к уязвимости CVE-2024-20399 позволял обходить интерфейс командной строки NX-OS и запускать произвольные команды прямо в подлежащей операционной системе Linux. Об этом рассказывается в публикации компании Sygnia, исследователей которой цитируют Hacker News. Эксплойт, впрочем, требовал рабочих реквизитов административного доступа к маршрутизаторам, – именно поэтому, видимо, уязвимость оценена настолько низко.
Эксперты Sygnia обнаружили, что данную уязвимость активно использует китайская группировка Velvet Ant, которая затем устанавливает в скомпрометированные устройства вредонос Velvetshell. Специалистам Sygnia не удалось перехватить сэмпл этой программы, но они смогли полностью реконструировать ее, исследовав память устройства. Как оказалось, это гибрид двух опенсорсных инструментов – Unix-бэкдора TinyShell и прокси-инструмента 3proxy.
Гибрид обладает целым рядом функций – запуск произвольных команд, скачивание и загрузка файлов и установление прокси-туннелей. Все это позволило злоумышленникам скрытно выводить данные и сохранять доступ в течение длительного времени.
Используя этот доступ, злоумышленники осуществляли инвентаризацию сетевого окружения в поиске интересующих их данных.
Немногочисленные варианты
Каким образом к хакерам попали рабочие реквизиты доступа, остается неясным.
«Вариантов тут, впрочем, немного, – считает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Либо административные реквизиты были украдены самими операторами Velvet Ant помощью эффективной фишинговой атаки – чего вполне можно ожидать от опытной кибергруппировки; либо эти данные были приобретены у каких-либо брокеров несанкционированного доступа. Если речь идет о втором варианте, можно предположить, что реквизиты административного доступа слишком долго не менялись, хотя и могли фигурировать в известных утечках».
Информация об уязвимости была передана в Cisco в начале июля. Компания вскоре выпустила исправление, устраняющее проблему.
«Манера действий Velvet Ant подчеркивает риски и вопросы, касающиеся устройств и приложений стороннего происхождения, которые организации используют в своих сетях, – говорится в публикации Sygnia. – Многие такие устройства являются непрозрачными «черными ящиками», и в итоге любой их программный или аппаратный компонент может сыграть роль точки входа для злоумышленников».
Что касается группировки Velvet Ant, то ее деятельность эксперты отслеживают уже несколько лет. Ее операторы демонстрируют растущий уровень квалификации: если изначально они специализировались на обычных эндпойнтах, то со временем они переключились на устаревшие серверы – и вот теперь на сетевые устройства и уязвимости нулевого дня.
Их деятельность демонстрирует, насколько важно для защиты инфраструктуры использовать комплексные меры реагирования, которые позволяют не только сдерживать угрозу, но и постоянно отслеживать все новые попытки компрометации сетей.