Recentemente, a Cisco divulgou uma vulnerabilidade crítica, identificada como CVE-2024-20399, que afeta o software Cisco NX-OS utilizado em uma ampla gama de switches da empresa. Essa falha de injeção de comando foi descoberta durante uma investigação forense de uma operação de espionagem cibernética conhecida como China-nexus, conduzida pelo grupo de ameaças “Velvet Ant”.
VEJA TAMBÉM: Como Escolher o Melhor Firewall para sua Empresa?
Detalhes da Vulnerabilidade
A CVE-2024-20399, com uma pontuação CVSS de 6.0, permite que atacantes autenticados executem comandos arbitrários como root no sistema operacional dos dispositivos afetados. A vulnerabilidade está presente na interface de linha de comando (CLI) do Cisco NX-OS, usada por administradores de data centers para resolver problemas e realizar operações de manutenção em dispositivos habilitados com NX-OS, que utilizam o kernel Linux.
O problema decorre de uma validação insuficiente dos argumentos passados para comandos de configuração específicos do CLI. Um invasor pode explorar essa vulnerabilidade incluindo entradas manipuladas como argumento de um comando de configuração afetado.
Impacto e Exploração
O Velvet Ant explorou a CVE-2024-20399 para executar código malicioso no sistema operacional Linux dos switches Nexus, utilizando credenciais de administrador válidas. A exploração permitiu que o grupo instalasse malware personalizado, conectando-se remotamente aos dispositivos comprometidos, fazendo upload de arquivos adicionais e executando comandos.
Os dispositivos afetados são:
MDS 9000 Series Multilayer Switches
Nexus 3000 Series Switches
Nexus 5500 Platform Switches
Nexus 5600 Platform Switches
Nexus 6000 Series Switches
Nexus 7000 Series Switches
Nexus 9000 Series Switches em modo NX-OS standalone
Mitigações e Recomendações
Para mitigar o risco, a Cisco já lançou atualizações que corrigem a falha nos dispositivos afetados. É essencial que as organizações apliquem esses patches imediatamente para evitar exploração.
Além de aplicar os patches, a International IT recomenda a implementação das melhores práticas de segurança, incluindo:
Restrição de Acesso Administrativo: Utilizar uma solução de gerenciamento de acesso privilegiado (PAM) ou um servidor jump dedicado com autenticação multifator (MFA).
Autenticação Centralizada: Implementar gerenciamento central de autenticação, autorização e contabilidade para usuários.
Restrição de Conexões Saídas: Impedir que switches iniciem conexões de saída para a Internet, reduzindo o risco de exploração por ameaças externas.
Política de Senhas Fortes: Enforçar uma política de senhas fortes e manter boas práticas de higiene de senhas.
Monitoramento e Logs: Garantir que os dispositivos de rede sejam monitorados adequadamente e que seus logs sejam encaminhados para um sistema de registro centralizado.
VEJA TAMBÉM: IDS e NDR: O Impacto Convergente de IA e Assinaturas
Conclusão
A exploração da CVE-2024-20399 pelo Velvet Ant destaca a importância de manter práticas de segurança rigorosas e de atualizar regularmente os dispositivos de rede. Embora a falha tenha uma classificação de risco médio, a sua exploração bem-sucedida demonstra a tendência dos grupos de ameaças sofisticadas de alavancar vulnerabilidades em dispositivos de rede para manter acesso persistente e executar comandos durante ataques cibernéticos. A aplicação de patches e a implementação de controles de segurança robustos são essenciais para proteger contra essas ameaças.
Para proteger ainda mais sua infraestrutura de TI contra ameaças avançadas e garantir a segurança e o desempenho excepcionais da sua rede, convidamos você a agendar uma demonstração técnica dos nossos Next Generation Firewalls, desenvolvidos pela Check Point e Fortinet. Nossas soluções avançadas oferecem:
Segurança Aprimorada: Protege contra ataques sofisticados, incluindo ameaças zero-day, com análises profundas e contínuas do tráfego de rede.
Alto Desempenho: Mantém alta performance com baixa latência, assegurando operações de rede ágeis e eficientes.
Flexibilidade Operacional: Suporta configurações complexas e se adapta facilmente às mudanças na infraestrutura de TI.
Gestão Centralizada: Proporciona controle e visibilidade completos sobre o tráfego de rede com interfaces de gerenciamento intuitivas.
Integração com SD-WAN: Melhora a qualidade de serviço (QoS) e a conectividade VPN, otimizando o acesso a recursos.
Agende sua demonstração técnica agora mesmo e descubra como nossas soluções podem proteger e otimizar sua rede de forma eficaz.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
Comments