上個月思科公布網路設備作業系統NX-OS的零時差漏洞CVE-2024-20399,此為命令列介面(CLI)的命令注入漏洞,攻擊者可在通過身分驗證的情況下,在本機以root的權限,於目標裝置的底層作業系統執行任意命令,早在4月,就接到其他廠商通報出現漏洞濫用攻擊,最近這家資安公司的研究人員公布利用漏洞的攻擊行動細節,並指出駭客得逞後,會在交換器部署後門程式VelvetShell。
Sygnia是在今年初看到這些駭客利用漏洞破壞、控制思科交換器設備,而能在受害企業以近乎隱形的方式從事活動。由於這項漏洞能讓可存取主控臺的管理者逃脫NX-OS的命令列介面(CLI),並在底層的Linux作業系統執行命令,這些駭客一旦成功利用漏洞,就會部署名為VelvetShell的惡意軟體,駭客以公開的後門程式Tiny Shell及代理伺服器程式3Proxy打造而成,具備執行命令的功能,並讓駭客能上傳或下載檔案,還能透過代理伺服器機制建立網路隧道,進而隱匿攻擊行動。
在執行惡意程式之前,駭客先複製curl執行檔並重新命名為ufdm,然後透過LD_PRELOAD環境變數用於載入ufdm.so,並將相關程式碼注入特定處理程序,這麼做的目的,其實是要將惡意程式的執行,偽裝成思科交換器的處理程序。
接著,這些駭客下達ps及netstat命令,檢查正在運作的處理程序及網路連線,藉此控制惡意軟體執行的流程。最後駭客在作案完成後,刪除了ufdm及ufdm.so,企圖抹除作案痕跡。
對於這項零時差漏洞攻擊的發現,研究人員指出,他們長期觀察Velvet Ant的活動,這些駭客先是針對一般Windows工作站電腦及伺服器下手,後來鎖定執行舊版作業系統的設備,使得受害組織難以察覺他們的蹤跡。接著,這些駭客進一步利用F5負載平衡設備維持活動,如今則是將思科交換器設備當作活動據點。這一連串的變化,突顯駭客組織的手法出現轉變,偏好從網路設備尋求未知漏洞,從而占據設備做為進出受害組織的主要管道。
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02
