The Hacker Newsは7月2日(現地時間)、「Chinese Hackers Exploiting Cisco Switches Zero-Day to Deliver Malware」において、中国の国家支援を受けているとみられる脅威グループ「Velvet Ant」がシスコシステムズのネットワークOS「Cisco NX-OS」に存在するゼロデイの脆弱性を悪用してデバイスにマルウェアを展開したと報じた。これはセキュリティ企業「Sygnia」が2024年7月1日(イスラエル時間)に公開した調査報告から明らかになった(参考:「Cisco NX-OS Command Injection Vulnerability CVE-2024-20399: Insights and Defense Strategies」)。

  • Chinese Hackers Exploiting Cisco Switches Zero-Day to Deliver Malware

    Chinese Hackers Exploiting Cisco Switches Zero-Day to Deliver Malware

Cisco NX-OSが抱えるゼロデイの脆弱性の概要

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-20399 - OSコマンドインジェクションの脆弱性。管理者として認証された攻撃者により、CLIから任意のOSコマンドを実行される可能性がある

脆弱性が存在する製品

脆弱性が存在するとされる製品は次のとおり。

  • MDS 9000シリーズマルチレイヤースイッチ
  • Nexus 3000シリーズスイッチ
  • Nexus 5500プラットフォームスイッチ
  • Nexus 5600プラットフォームスイッチ
  • Nexus 6000シリーズスイッチ
  • Nexus 7000シリーズスイッチ
  • スタンドアロンNX-OSモードのNexus 9000シリーズスイッチ

影響と対策

Sygniaの報告によると、組織の内部ネットワークに侵入したVelvet Antは対象の脆弱性を悪用し、デバイスのオペレーティングシステム上で悪意のあるコードを実行したという。その後、侵害したデバイス上で未知のマルウェアを展開し、デバイスの遠隔操作を可能にしたとされる。

Sygniaは脆弱性の悪用には高いハードルが複数存在し、侵害は容易ではないと説明している。しかしながら、脅威グループは悪用に成功しており、それを突破するだけの能力があることを示している。企業にはネットワークセキュリティのベストプラクティスを実践し、攻撃の初期経路となる内部ネットワークへの侵入を検出および阻止することが望まれている。

シスコは脆弱性の影響確認ツールとして「Cisco Software Checker」を公開している。脆弱性の影響を受けるデバイスを運用している管理者は、指示に従い必要な情報を入力することでセキュリティアドバイザリおよび修正リリースを確認することができる。修正リリースが確認できる場合は、ベンダーの指示に従いアップデートすることが推奨される。