Маршрутизаторы Cisco столкнулись с шестибалльной уязвимостью в интерфейсе командной строки, допускающей запуск произвольных команд на уровне базовой ОС при наличии паролей администратора. Эти реквизиты были успешно добыты злоумышленниками.
Скрытая Опасность: Обнаружение Активности Velvet Ant
Китайская хакерская группировка Velvet Ant активно эксплуатировала брешь в устройствах Cisco, еще до официального решения вендора. Несмотря на скромную 6-балльную оценку по CVSS, уязвимость оказалась работоспособной для захвата контроля.
Эксплойт для CVE-2024-20399 обходил интерфейс командной строки NX-OS, позволяя исполнять произвольные команды прямо в подлежащей Linux. Как сообщает компания Sygnia, для работы эксплойта требовались легитимные данные администратора, что и объяснило изначально низкую оценку риска.
Специалисты Sygnia выявили, что именно Velvet Ant использует брешь, внедряя в скомпрометированные роутеры инструмент Velvetshell. Хотя исходный сэмпл захватить не удалось, анализ памяти устройств позволил полностью восстановить его структуру. Velvetshell оказался уникальным гибридом бэкдора TinyShell с открытым исходным кодом и прокси-инструмента 3proxy.
Функционал гибрида впечатлял: произвольные команды, передача файлов и прокси-туннелизация. Это помогало злоумышленникам оставаться незамеченными, скрытно выводить данные и надолго сохранять доступ к сети.
Полученные привилегии активно использовались для тщательного изучения окружения с целью поиска ценной информации.
Возможные Пути Компрометации и Защитные Шаги
Происхождение похищенных административных данных вызывает вопросы.
«Пути компрометации ограничены, – комментирует Никита Павлов, эксперт по ИБ компании SEQ. – Операторы Velvet Ant могли добыть их через целевую фишинговую атаку или приобрести у теневых брокеров. В последнем случае очевидна проблема устаревших, давно не менявшихся паролей, возможно ранее фигурирующих в утечках».
Информация о проблеме была оперативно направлена в Cisco, чьи инженеры подготовили и выпустили необходимый файкс уже в начале июля.
«Действия Velvet Ant вновь подчеркнули риски, сопутствующие использованию в корпоративных сетях сложных непрозрачных устройств, – предупреждают в Sygnia. – Любой их компонент потенциально может стать точкой входа для атакующих».
Эволюция Velvet Ant, под наблюдением экспертов несколько лет, демонстрирует прогресс: от атак на рабочие станции они перешли к устаревшим серверам, а теперь научились использовать сетевые устройства и даже уязвимости нулевого дня.
Их деятельность служит ярким доказательством: только комплексный, многоуровневый подход к безопасности, обеспечивающий постоянный мониторинг и распределенное реагирование, позволяет надежно защитить инфраструктуру от современных угроз.
