DEV Community
·
中国关联APT组织“天鹅绒蚂蚁”利用Cisco零日漏洞(CVE-2024-20399)
内容提要
中国APT组织“天鹅绒蚂蚁”利用Cisco交换机的零日漏洞成功入侵网络设备。漏洞CVE-2024-20399允许攻击者以root身份执行任意命令。APT组织使用有效的管理员凭据逃离NX-OS命令行界面,并在底层Linux操作系统上执行任意命令。受影响的设备包括Cisco的多个系列交换机。Cisco建议客户监控管理员用户的凭据使用,并提供了软件检查工具来确定设备是否受漏洞影响。这次攻击显示了APT组织不断进化的策略和高水平的资源和专业知识。
关键要点
-
中国APT组织“天鹅绒蚂蚁”成功利用Cisco交换机的零日漏洞CVE-2024-20399入侵网络设备。
-
CVE-2024-20399漏洞允许经过身份验证的攻击者以root身份执行任意命令,源于对特定CLI命令参数验证不足。
-
天鹅绒蚂蚁利用有效的管理员凭据逃离NX-OS命令行界面,执行任意命令。
-
该组织部署了名为“VELVETSHELL”的定制恶意软件,能够在底层操作系统上运行并规避常规安全工具。
-
VELVETSHELL恶意软件结合了两个开源工具,具备执行命令、文件下载上传和建立网络流量隧道等功能。
-
受影响的Cisco设备包括多个系列的交换机,如MDS 9000、Nexus 3000、5500、5600、6000、7000和9000系列。
-
Cisco建议客户监控管理员用户凭据的使用,并提供软件检查工具以确定设备是否受漏洞影响。
-
美国网络安全和基础设施安全局(CISA)已将CVE-2024-20399添加到已知被利用漏洞目录中。
-
天鹅绒蚂蚁的战术不断演变,从普通终端转向遗留服务器,再到利用零日漏洞攻击网络设备。
-
APT组织的复杂操作显示出国家支持的APT团体所带来的持续威胁,展现了其高水平的资源和专业知识。
延伸问答
天鹅绒蚂蚁组织是如何利用CVE-2024-20399漏洞的?
天鹅绒蚂蚁组织利用有效的管理员凭据逃离NX-OS命令行界面,执行任意命令,从而成功入侵网络设备。
CVE-2024-20399漏洞的影响有哪些?
该漏洞允许经过身份验证的攻击者以root身份执行任意命令,影响多个系列的Cisco交换机。
天鹅绒蚂蚁使用了什么恶意软件?
天鹅绒蚂蚁使用了名为“VELVETSHELL”的定制恶意软件,能够在底层操作系统上运行并规避常规安全工具。
Cisco对受影响设备的建议是什么?
Cisco建议客户监控管理员用户凭据的使用,并提供软件检查工具以确定设备是否受漏洞影响。
天鹅绒蚂蚁的攻击策略有什么演变?
天鹅绒蚂蚁的攻击策略从普通终端转向遗留服务器,再到利用零日漏洞攻击网络设备,显示出其战术的不断演变。
CVE-2024-20399漏洞的CVSS评分是多少?
CVE-2024-20399漏洞的CVSS评分为6.0。
