Une faille jusqu’alors jugée modérément critique vient d’être patchée dans les switchs de l’équipementier suite à la découverte de plusieurs exploits.
Cisco patche une faille Zero-Day exploitée par des hackers chinois. L’équipementier américain vient de publier en urgence une mise à jour pour plusieurs de ses solutions Nexus affectées par une faille déjà connue mais jusqu’alors considérée comme modérément sévère. Et pour cause, celle-ci qui pourrait permettre à des attaquants de masquer l'exécution de commandes bash sur le système d'exploitation sous-jacent nécessite une identification administrateur pour être exploité.
Seulement, cette vulnérabilité référencée CVE-2024-20399 a semble-t-il était exploitée par un groupe de hackers supporté par la Chine baptisée Velvet Ant par les chercheurs de la société Sygnia qui a découvert l’exploit. D’après ces derniers, ils auraient persisté dans le réseau d'une grande organisation pendant plus de trois ans en utilisant une ancienne appliance F5 BIG-IP compromise pour la gestion et le contrôle. Il l’aurait également exploité afin d'exécuter un code malveillant et s'implanter sur les commutateurs Cisco Nexus.
Étant donné que l'attaque nécessite des privilèges administratifs, Cisco recommande non seulement d'installer les correctifs qu’il vient de publier, mais aussi de contrôler et de modifier périodiquement les informations d'identification des comptes network-admin et vdc-admin. La faille touche notamment le logiciel NX-OS qui équipe diverses séries de commutateurs Cisco : MDS 9000 Series Multilayer Switches, Nexus 3000 Series Switches, Nexus 5500 Platform Switches, Nexus 5600 Platform Switches, Nexus 6000 Series Switches, Nexus 7000 Series Switches et Nexus 9000 Series Switches en mode NX-OS autonome.