Velvet Ant exploite la faille Zero-Day de Cisco
Des événements récents dans le paysage de la cybersécurité ont mis en lumière les activités d'un groupe de cyberespionnage chinois connu sous le nom de Velvet Ant. Ce groupe d'acteurs de la menace a été observé en train d'exploiter une faille de type "zero-day" dans le logiciel Cisco NX-OS. Dans cet article, nous en apprendrons plus sur la vulnérabilité et son exploitation. C'est parti !
Découverte de la faille Zero-Day de Cisco
Selon des rapports récents des médias, la vulnérabilité de Cisco NX-OS a été répertoriée comme CVE-2024-20399. Actuellement, elle a un score de gravité de vulnérabilité critique (CVSS) de 6,0. Toutefois, elle peut permettre à des acteurs menaçants tels que Velvet Ant, le groupe de cyberespionnage chinois, d'exécuter un code arbitraire.
Suite à l'exploitation de la vulnérabilité, le code peut être exécuté sur le système d'exploitation sous-jacent d'un appareil compromis. Une société de cybersécurité, Sygnia, a commenté la vulnérabilité en ces termes :
"En exploitant cette vulnérabilité, Velvet Ant a réussi à exécuter un logiciel malveillant personnalisé précédemment inconnu qui a permis au groupe de menace de se connecter à distance aux appareils Cisco Nexus compromis, de télécharger des fichiers supplémentaires et d'exécuter du code sur les appareils".
Gravité de CVE-2024-20399
Une menace impliquant une exploitation réussie de CVE-2024-20399 est assez préoccupante car elle permet aux pirates d'avoir des capacités d'exécution de code. Toutefois, cette faille zero-day n'a qu'un faible niveau de gravité.
Ce score se justifie par le fait qu'une exploitation réussie de la faille zero-day nécessiterait que l'acteur de la menace ait accès aux informations d'identification de l'administrateur et à des commandes de configuration spécifiques. À l'heure actuelle, les appareils affectés par la faille zero-day sont les suivants :
- Commutateurs multicouches de la série MDS 9000.
- Commutateurs de la série Nexus 3000.
- Commutateurs de la plateforme Nexus 5500.
- Commutateurs de la plateforme Nexus 5600.
- Commutateurs de la série Nexus 6000.
- Commutateurs de la série Nexus 7000.
- Commutateurs de la série Nexus 9000 en mode NX-OS autonome.
Cybersécurité Découverte d'une faille Zero-Day
Selon le rapport mis à disposition par Syngia, les tentatives d'exploitation sauvage de la faille zero-day ont été découvertes pour la première fois au cours d'une enquête menée l'année dernière. Cisco a déclaré avoir pris connaissance de la vulnérabilité en avril 2024.
L'activité de l'acteur de menace Velvet Ant a été documentée pour la première fois par une société israélienne de cybersécurité le mois dernier. Cette activité était liée à une cyberattaque visant une organisation en Asie de l'Est.
Au cours de cette attaque, les acteurs de la menace ont développé une persistance en utilisant des appliances F5 et BIG-IP obsolètes pour acquérir des informations sur les clients et les finances. L'entreprise de cybersécurité a fourni de plus amples informations à ce sujet :
"Les appareils de réseau, en particulier les commutateurs, ne sont souvent pas surveillés et leurs journaux ne sont souvent pas transmis à un système de journalisation centralisé. Ce manque de surveillance crée des difficultés considérables pour identifier et enquêter sur les activités malveillantes".
Commentant les exploits de la faille zero-day, Cisco a déclaré que le problème provient d'une validation insuffisante des arguments passés par les commandes CLI pour des configurations spécifiques.
Conclusion
L'exploitation par Velvet Ant d'une faille de type "zero-day" dans les commutateurs Cisco souligne la menace persistante que représentent les groupes de cyberespionnage. Cet incident met en évidence le besoin critique de protocoles de sécurité proactifs et d'une surveillance continue des appareils de réseau.
Elle souligne également l'importance d'une gestion opportune des correctifs et d'audits de sécurité réguliers pour éviter des vulnérabilités similaires. Rester informé des menaces émergentes et maintenir des défenses à jour sont des étapes cruciales dans la protection de l'écosystème numérique.
Les sources de cet article comprennent des articles parus dans The Hacker News et The Record.