Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 2 Luglio 2024 20:35
Cisco sta risolvendo una vulnerabilità di command injection zero-day in NX-OS. Ad aprile, questo bug è stato sfruttato dal gruppo di hacker di spionaggio informatico legato alla Cina Velvet Ant, installando malware con diritti di root sugli switch vulnerabili.
La vulnerabilità è stata identificata come CVE-2024-20399 colpisce l’interfaccia della riga di comando di NX-OS, consentendo a un utente malintenzionato locale di eseguire comandi arbitrari con diritti di root.
“Questa vulnerabilità è dovuta alla convalida errata degli argomenti passati a determinati comandi di configurazione della CLI. Un utente malintenzionato potrebbe sfruttare la vulnerabilità utilizzando i dati modificati come argomento per un comando CLI vulnerabile“, ha affermato Cisco.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Si sottolinea che per sfruttare con successo questo bug, l’aggressore dovrà prima autenticarsi come amministratore sul dispositivo vulnerabile. Il CVE-2024-20399 interessa gli switch Cisco MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 e Nexus 9000. Versioni firmware aggiornate sono attualmente disponibili per tutti i dispositivi.
Il rapporto dell’azienda rileva inoltre che Cisco è a conoscenza dello sfruttamento di questo problema nell’aprile 2024. Inizialmente la vulnerabilità e i relativi attacchi sono stati scoperti dagli specialisti della società di sicurezza informatica Sygnia, i quali sottolineano che questa attività era collegata allo spionaggio informatico e al gruppo di hacker cinese Velvet Ant.
Ricordiamo che il mese scorso i ricercatori di Sygnia avevano avvertito che Velvet Ant installava da molti anni malware personalizzati sui dispositivi F5 BIG-IP per ottenere un accesso costante alla rete interna dell’azienda presa di mira e rubare dati.
Come è ormai noto, il gruppo di hacker ha utilizzato un bug di Cisco NX-OS per lanciare malware precedentemente sconosciuti su dispositivi vulnerabili, connettersi ad essi da remoto, scaricare file aggiuntivi ed eseguire codice.
“Dato che la maggior parte degli switch Nexus non hanno accesso diretto a Internet, per sfruttare questa vulnerabilità, gli hacker devono prima ottenere l’accesso alla rete interna di un’organizzazione. Di conseguenza, il rischio complessivo per le organizzazioni è ridotto a causa delle difficoltà legate all’ottenimento dell’accesso necessario”, scrivono i ricercatori di Sygnia.
Tuttavia, l’azienda ha anche osservato che, nonostante le difficoltà nello sfruttare vulnerabilità come CVE-2024-20399, gruppi come Velvet Ant utilizzano solitamente dispositivi di rete scarsamente protetti per garantire un accesso costante agli ambienti aziendali.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneShannon opera come un penetration tester che non si limita a segnalare vulnerabilità, ma lancia veri e propri exploit. L’intento di Shannon è quello di violare la sicurezza della tua applicazione ...
Salve ragazzi,mi chiamo Giorgio, ho 58 anni, lavoro da sempre come tecnico amministrativo e, nella vita, sono sempre stato quello “razionale” della famiglia. Quello che controlla i conti, che non ...
I servizi di Windows dedicati alle connessioni remote hanno da sempre rappresentato una fonte inesauribile di “soddisfazioni” per chi si occupa di sicurezza informatica, rivelando vulnerabilità d...
La scena è sempre quella: monitor accesi, dashboard piene di alert, log che scorrono troppo in fretta, un cliente in ansia dall’altra parte della call. Ti siedi, ti guardi intorno e ti rendi conto ...
Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfrutta...
