Ciberactores de Velvet Ant, vinculados a explotación de CVE-2024-20399 en Cisco

La empresa de Ciberseguridad Sygnia, identificó que el grupo de amenazas Velvet Ant, con vínculos chinos, explotó la vulnerabilidad CVE-2024-20399 como una vulnerabilidad de "Zero Day" en dispositivos Cisco Nexus. Esto permitió ejecutar comandos en el sistema operativo de los dispositivos afectados para desplegar un malware personalizado desconocido y conectarse remotamente, permitiendo cargar archivos adicionales y ejecutar código en los dispositivos comprometidos. 

Relevancia de la vulnerabilidad

Los conmutadores Cisco Nexus son comunes en entornos empresariales, especialmente en centros de datos. Para explotar la vulnerabilidad identificada bajo el CVE-2024-20399, el grupo de amenazas debe poseer credenciales de administrador válidas y acceso a la red del conmutador Nexus. Dado que la mayoría de estos conmutadores no están expuestos directamente a Internet, los atacantes deben primero obtener acceso inicial a la red interna de la organización. Esto reduce el riesgo general debido a la dificultad de obtener el acceso necesario. 

Detalle de la vulnerabilidad y productos afectados

Esta vulnerabilidad fue reportada bajo el CVE-2024-20399 y posee una puntuación CVSS de 6.0 catalogándola con severidad Media.

Para obtener más detalles sobre esta vulnerabilidad visite nuestro Portal CCI, donde encontrará los productos y versiones afectadas.

Monitoreo y detección de amenazas

• Configurar todos los conmutadores de red para enviar datos de registro a un servidor Syslog centralizado, permitiendo la supervisión de intentos de explotación. Configurar diferentes niveles de registro, incluyendo cambiar el nivel AUTHPRIV a 6 para registrar intentos de autenticación exitosos y fallidos.
• Integrar los registros de conmutadores con un sistema de gestión de eventos e información de seguridad (SIEM) para correlacionar eventos y detectar anomalías en la red.
• Utilizar la información de Syslog para establecer alertas que identifiquen actividades sospechosas, como conexiones SSH no autorizadas o que se originen desde equipos de red no autorizados.
• Analizar periódicamente el tráfico de la red para identificar patrones anómalos, prestando especial atención al tráfico que involucra puertos de administración como SSH y Telnet.
• Diseñar búsquedas de amenazas enfocadas en dispositivos de red para identificar explotación de vulnerabilidades, como CVE-2024-20399, y detectar comandos anómalos ejecutados en los dispositivos, incluyendo la salida del comando 'show accounting log'.
• Identificar conmutadores comprometidos que ejecutan malware analizando la salida de 'show sockets connection' y buscando procesos que escuchen en puertos altos. Validar indicadores sospechosos con acceso al sistema operativo Linux subyacente.
• Implementar los IoC proporcionados sobre los métodos de Velvet Ant para mejorar las capacidades de detección y determinar si el grupo está presente o activo en la red.

Dispositivos Cisco NX-OS en Latinoamérica

En la siguiente gráfica se muestra un detalle de las instancias de Cisco NX-OS que podrían ser vulnerables a ataques del CVE-2024-20399, esta gráfica solo muestra las instancias expuestas a internet, estos dispositivos habitualmente son utilizados en capas de red inferiores de la organización, además es necesario poseer permisos de administrador para explotar la vulnerabilidad, por lo cual aumenta la dificultad para los atacantes. Cabe mencionar que estas credenciales también podrían ser adquiridas en foros clandestinos de la DDW (Deep Dark Web).

Ilustración 1: Gráfico Cisco OS-NX en Latinoamérica
Fuente: Grupo CTI Entel Digital

Apreciación

La vulnerabilidad CVE-2024-20399, descubierta por Sygnia y relacionada con la interfaz de línea de comandos del software Cisco NX-OS, representa una seria amenaza para los dispositivos Cisco Nexus. Velvet Ant, un grupo de amenazas con vínculos chinos, explotó esta vulnerabilidad para ejecutar comandos maliciosos y malware en los conmutadores Nexus. La falta de monitoreo adecuado en estos dispositivos dificulta la detección y mitigación de tales amenazas. Este incidente subraya la importancia de adherirse a las mejores prácticas de seguridad y mantener mecanismos de defensa resilientes para proteger a la organización contra ataques sofisticados patrocinados por ciberactores de estado-nación.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Utilizar una solución de administración de acceso privilegiado (PAM) o un servidor de salto con autenticación multifactor (MFA) para restringir el acceso a equipos de red. Si no es posible, restringir el acceso a direcciones de red específicas, como una red fuera de banda (OOB). Esto limita la capacidad de los grupos de amenazas de acceder a conmutadores y otros equipos sin ser detectados.
• Usar TACACS+ y sistemas como Cisco ISE para mejorar la seguridad en entornos con numerosos conmutadores. La gestión centralizada evita la dispersión de cuentas de usuario en conmutadores individuales y facilita la supervisión, rotación de contraseñas y revisiones de acceso. En caso de vulneración, permite una reparación rápida y eficaz de usuarios en todos los equipos de red.
• Asegurar que los usuarios administrativos tengan contraseñas complejas y almacenadas de forma segura, preferiblemente mediante una solución de administración de identidades privilegiadas (PIM) que rote automáticamente las contraseñas o una bóveda de contraseñas con acceso restringido. Evitar almacenar contraseñas en ubicaciones no seguras, como hojas de cálculo de Excel o carpetas compartidas.
• Limitar que los conmutadores inicien conexiones salientes a Internet para reducir el riesgo de explotación por amenazas externas o comunicación con actores maliciosos. Implementar reglas de firewall estrictas y listas de control de acceso (ACL) para permitir solo el tráfico necesario, mejorando la seguridad de la infraestructura de red.
• Revisar y aplicar parches regularmente a todos los dispositivos de red para abordar vulnerabilidades recién descubiertas, como CVE-2024-20399, reduciendo el riesgo de explotación. Utilizar herramientas automatizadas, como escáneres de vulnerabilidades, para identificar y priorizar las vulnerabilidades existentes en los equipos de red.