Eine kritische Schwachstelle in der Befehlszeilenschnittstelle (CLI) der Cisco NX-OS-Software wird derzeit aktiv ausgenutzt und ermöglicht es Angreifern, beliebige Befehle als Root auf betroffenen Geräten auszuführen. Diese Zero-Day-Schwachstelle, identifiziert als CVE-2024-20399, stellt eine erhebliche Bedrohung für die Netzwerksicherheit dar, insbesondere für Organisationen, die Cisco Nexus- und MDS-Serien-Switches verwenden.
Details zur Schwachstelle
Die Schwachstelle resultiert aus unzureichender Validierung der an spezifische Konfigurations-CLI-Befehle übergebenen Argumente. Ein authentifizierter, lokaler Angreifer mit Administratoranmeldedaten kann diese Schwachstelle ausnutzen, indem er speziell gestaltete Eingaben als Argument für einen betroffenen Konfigurations-CLI-Befehl bereitstellt. Erfolgreiche Ausnutzung gewährt dem Angreifer Root-Rechte auf dem zugrunde liegenden Betriebssystem und ermöglicht die Ausführung beliebiger Befehle.
Betroffene Produkte
Folgende Cisco-Produkte sind betroffen, wenn sie eine verwundbare Version der Cisco NX-OS-Software ausführen:
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches im Standalone-NX-OS-Modus
Bestimmte Modelle der Nexus 3000- und Nexus 9000-Serie sind nicht betroffen, wenn sie Cisco NX-OS-Softwareversionen 9.3(5) und später ausführen, mit spezifischen Ausnahmen wie den Modellen N3K-C3264C-E und N9K-C92348GC-X, die weitere Updates auf Versionen 10.4.3 und später erfordern.
Ausnutzung und Abhilfemaßnahmen
Das Cisco Product Security Incident Response Team (PSIRT) wurde im April 2024 auf die aktive Ausnutzung dieser Schwachstelle aufmerksam. Das Cybersicherheitsunternehmen Sygnia brachte diese Angriffe mit einem chinesischen staatlich unterstützten Bedrohungsakteur, Velvet Ant, in Verbindung, der die Schwachstelle nutzte, um maßgeschneiderte Malware auf kompromittierten Geräten zu installieren. Diese Malware ermöglicht Remote-Verbindungen, Dateiuploads und die Ausführung von bösartigem Code, ohne System-Syslog-Nachrichten auszulösen, wodurch der Angriff verschleiert wird.
Cisco hat Software-Updates veröffentlicht, um diese Schwachstelle zu beheben. Es sind jedoch keine Workarounds verfügbar. Administratoren wird dringend geraten, die Updates umgehend zu installieren und regelmäßig die Anmeldedaten für administrative Benutzer wie network-admin und vdc-admin zu überwachen und zu ändern, um potenzielle Risiken zu mindern.
Cisco stellt das Cisco Software Checker Tool zur Verfügung, um die Gefährdung zu ermitteln und die entsprechenden Software-Updates zu finden. Dieses Tool hilft, betroffene Software-Versionen und die frühesten behobenen Versionen zu identifizieren. Administratoren können auf dieses Tool auf der Cisco Software Checker-Seite zugreifen.
Organisationen, die betroffene Cisco-Produkte verwenden, sollten die notwendigen Patches priorisieren und ihr Netzwerk kontinuierlich auf Anzeichen einer Kompromittierung überwachen.