DEV Community
·
中国关联APT组织“天鹅绒蚂蚁”利用Cisco零日漏洞(CVE-2024-20399)
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
中国APT组织“天鹅绒蚂蚁”利用Cisco交换机的零日漏洞成功入侵网络设备。漏洞CVE-2024-20399允许攻击者以root身份执行任意命令。APT组织使用有效的管理员凭据逃离NX-OS命令行界面,并在底层Linux操作系统上执行任意命令。受影响的设备包括Cisco的多个系列交换机。Cisco建议客户监控管理员用户的凭据使用,并提供了软件检查工具来确定设备是否受漏洞影响。这次攻击显示了APT组织不断进化的策略和高水平的资源和专业知识。
🎯
关键要点
- 中国APT组织“天鹅绒蚂蚁”成功利用Cisco交换机的零日漏洞CVE-2024-20399入侵网络设备。
- CVE-2024-20399漏洞允许经过身份验证的攻击者以root身份执行任意命令,源于对特定CLI命令参数验证不足。
- 天鹅绒蚂蚁利用有效的管理员凭据逃离NX-OS命令行界面,执行任意命令。
- 该组织部署了名为“VELVETSHELL”的定制恶意软件,能够在底层操作系统上运行并规避常规安全工具。
- VELVETSHELL恶意软件结合了两个开源工具,具备执行命令、文件下载上传和建立网络流量隧道等功能。
- 受影响的Cisco设备包括多个系列的交换机,如MDS 9000、Nexus 3000、5500、5600、6000、7000和9000系列。
- Cisco建议客户监控管理员用户凭据的使用,并提供软件检查工具以确定设备是否受漏洞影响。
- 美国网络安全和基础设施安全局(CISA)已将CVE-2024-20399添加到已知被利用漏洞目录中。
- 天鹅绒蚂蚁的战术不断演变,从普通终端转向遗留服务器,再到利用零日漏洞攻击网络设备。
- APT组织的复杂操作显示出国家支持的APT团体所带来的持续威胁,展现了其高水平的资源和专业知识。
➡️
