Hackers chinos explotan vulnerabilidad en switches Cisco para instalar malware

Compartir en Pinterest Compartir en LinkedIn Compartir en WhatsApp

Un grupo de ciberdelincuentes de origen chino conocido como Velvet Ant ha sido detectado explotando una vulnerabilidad de día cero en el software Cisco NX-OS, utilizado en sus switches, para instalar malware. Esta amenaza ha generado preocupación en la comunidad de ciberseguridad debido a su potencial impacto.

Vulnerabilidad Crítica

La vulnerabilidad, identificada como CVE-2024-20399 con una puntuación CVSS de 6.0, se trata de una inyección de comandos que permite a un atacante autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado. Este fallo de seguridad permite a Velvet Ant ejecutar malware personalizado que facilita la conexión remota a los dispositivos comprometidos, la carga de archivos adicionales y la ejecución de código en los mismos.

Funcionamiento del Ataque

Según un informe de la firma de ciberseguridad Sygnia, la vulnerabilidad se debe a una validación insuficiente de los argumentos pasados a comandos específicos de la CLI de configuración. Esto permite a un atacante con privilegios de administrador ejecutar comandos sin generar mensajes en el sistema syslog, dificultando la detección de actividades maliciosas en los dispositivos comprometidos.

Los dispositivos afectados por la vulnerabilidad CVE-2024-20399 incluyen:

  • Switches de la Serie MDS 9000
  • Switches de la Serie Nexus 3000
  • Switches de la Plataforma Nexus 5500
  • Switches de la Plataforma Nexus 5600
  • Switches de la Serie Nexus 6000
  • Switches de la Serie Nexus 7000
  • Switches de la Serie Nexus 9000 en modo NX-OS independiente

Contexto del Ataque

Velvet Ant fue documentado por primera vez el mes pasado en relación con un ciberataque dirigido a una organización no identificada en el este de Asia, el cual duró aproximadamente tres años. Este grupo ha utilizado dispositivos F5 BIG-IP obsoletos para robar información de clientes y financiera de manera sigilosa.

Sygnia ha destacado que los dispositivos de red, especialmente los switches, a menudo no son monitoreados adecuadamente, lo que crea desafíos significativos para identificar y investigar actividades maliciosas.

Riesgos y Recomendaciones

A pesar de la capacidad de ejecución de código de la vulnerabilidad, su severidad es menor debido a que la explotación exitosa requiere que el atacante posea credenciales de administrador y acceso a comandos de configuración específicos. Sin embargo, la explotación de esta vulnerabilidad muestra la tendencia de los grupos de amenazas sofisticados a utilizar dispositivos de red para mantener acceso persistente a la red.

Para mitigar estos riesgos, Cisco ha publicado actualizaciones de software que abordan esta vulnerabilidad. Sygnia recomienda las siguientes estrategias de prevención y endurecimiento:

  1. Restringir el acceso administrativo: Utilizar soluciones de gestión de acceso privilegiado (PAM) y autenticación multifactor (MFA).
  2. Usar gestión centralizada de autenticación y autorización (AAA): Implementar sistemas como Cisco ISE.
  3. Aplicar políticas de contraseñas fuertes: Utilizar soluciones de gestión de identidades privilegiadas (PIM) para rotar contraseñas automáticamente.
  4. Restringir el acceso a internet para dispositivos: Implementar reglas estrictas de firewall y listas de control de acceso (ACL).
  5. Mantener prácticas regulares de gestión de parches y vulnerabilidades: Utilizar herramientas automatizadas para identificar y priorizar vulnerabilidades.

Monitorización y Detección

Para mejorar la visibilidad y detección de actividades maliciosas, se recomienda:

  1. Habilitar Syslog en todos los switches: Configurar el envío de datos de registro a un servidor Syslog centralizado.
  2. Integrar con SIEM: Correlacionar eventos y detectar anomalías.
  3. Configurar alertas: Establecer alertas para conexiones SSH no autorizadas.
  4. Realizar monitoreo de red: Analizar regularmente el tráfico de red para identificar patrones anómalos.
  5. Realizar búsquedas periódicas de amenazas: Analizar comandos ejecutados en el dispositivo y buscar anomalías.

Conclusión

La explotación de esta vulnerabilidad por parte de Velvet Ant subraya la importancia de mantener medidas de seguridad robustas y monitoreo continuo en dispositivos de red. La implementación de mejores prácticas de seguridad puede ayudar a mitigar estos riesgos y proteger la infraestructura de red contra amenazas sofisticadas.

Compartir en Pinterest Compartir en LinkedIn Compartir en WhatsApp

Suscríbete al boletín SysAdmin

Este es tu recurso para las últimas noticias y consejos sobre administración de sistemas, Linux, Windows, cloud computing, seguridad de la nube, etc. Lo enviamos 2 días a la semana.

¡Apúntate a nuestro newsletter!

– patrocinadores –
banner-cloud-privado-stackscale_w_animado

Noticias destacadas

– patrocinadores –

¡SUSCRÍBETE AL BOLETÍN
DE LOS SYSADMINS!

Noticias relacionadas

Artículos patrocinados     Servicio de Diseño web     Contacto     Acerca de MyR

© Copyright 1995-2024 Color Vivo Internet, SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.

Scroll al inicio
×