O tym, iż wyrafinowani hakerzy coraz częściej naruszają bezpieczeństwo urządzeń brzegowych oraz sieciowych i mierzą w Cisco, pisaliśmy wielokrotnie. Dzisiaj omówimy działania nowej, zaawansowanej grupy – Velvet Ant.
1 lipca 2024 r. Cisco wydało ostrzeżenie szczegółowo opisujące lukę w zabezpieczeniach umożliwiającą wstrzykiwanie poleceń CLI, mającą wpływ na oprogramowanie NX-OS używane przez przełączniki Nexus. Tego samego dnia Sygnia ogłosiła, w jaki sposób odkryła i zgłosiła tę lukę. Stwierdziła, iż podatność została wykorzystana przez grupę powiązaną z Chinami, którą określiła jako Velvet Ant. Firma nie znalazła żadnych dowodów sugerujących, by inni specjaliści badali tę samą grupę i nadali jej inną nazwę.
Sygnia wskazuje te działania jako klasyczny przykład ataku za pośrednictwem urządzeń brzegowych lub sieciowych. Takie urządzenia są często projektowane w taki sposób, aby działały niemal jak czarne skrzynki z ograniczonym dostępem użytkownika, często bez rejestrowania i bez widocznego stosu zabezpieczeń (co jest zaletą dla skutecznego atakującego, bo pozwala utrwalić atak i lepiej go ukryć).
Na blogu Sygnia opisuje, w jaki sposób Velvet Ant przez lata przechodził do „głębszych i ciemniejszych” części infrastruktury sieciowej, co w tym przypadku zakończyło się naruszeniem przełączników Cisco.
Przełączniki Nexus działają na systemie NX-OS. Ma on warstwową architekturę obejmującą ograniczony poziom „aplikacji” CLI i podstawowy poziom systemu operacyjnego oparty na Linuksie. Uprawniony administrator używa poziomu aplikacji CLI do zadań zarządzania siecią, ale nie ma (lub nie powinien mieć) bezpośredniego dostępu do chronionego poziomu systemu operacyjnego. Administracja przełącznikiem jest oderwana od systemu operacyjnego i ograniczona do CLI. Poziom systemu operacyjnego obsługuje podstawowe funkcje systemowe, uruchamia procesy i zarządza zasobami, które są krytyczne dla działania przełącznika.
Jeśli chodzi o widoczność, to, co dzieje się na poziomie systemu operacyjnego, pozostaje na poziomie systemu operacyjnego – niewidoczne dla administratora i stosu zabezpieczeń sieciowych. „Te urządzenia przełączające nie dają użytkownikowi dostępu do podstawowego systemu operacyjnego, co sprawia, iż skanowanie w poszukiwaniu wskaźników zagrożenia jest prawie niemożliwe” – podkreślają badacze.
W przypadku tego incydentu Velvet Ant najpierw uzyskał dostęp do przełącznika przy użyciu prawidłowych poświadczeń administratora, a następnie dokonał „jailbreaku” (wykorzystując lukę w zabezpieczeniach polegającą na wstrzykiwaniu poleceń) z poziomu aplikacji na poziom systemu operacyjnego. Aktor miał dostęp do sieci przez poziom aplikacji i ukrytą trwałość na poziomie systemu operacyjnego.
Luce przypisano identyfikator CVE-2024-20399, ale przez cały czas oczekuje ona na analizę NVD. W ostrzeżeniu Cisco nadano jej ocenę średniego zagrożenia, stwierdzając, iż „Luka w CLI systemu Cisco NX-OS może umożliwić uwierzytelnionemu użytkownikowi posiadającemu uprawnienia administratora wykonywanie dowolnych poleceń jako root w podstawowym systemie operacyjnym dotkniętego urządzenia”.
Dzięki kontroli nad przełącznikiem Velvet Ant mógł bezpośrednio przełączać się na inne urządzenia w sieci bez uciekania się do zwykłych metod ruchu bocznego – w których wykrywa się większość włamań złych aktorów. Celem Velvet Ant było szpiegostwo, ale należy zauważyć, iż użycie przez Sygnię opisu „APT” nie ma na celu sugerowania, iż Velvet Ant jest chińską grupą państwową – Sygnia w tej chwili opisuje ją jako powiązaną z Chinami, a nie jako aktora z Chin.
„Ten dostęp zapewnił atakującym zwiększoną kontrolę nad przełącznikiem, umożliwiając im wykonywanie złośliwych skryptów i manipulowanie systemem poza zamierzonymi możliwościami administracyjnymi” – twierdzą badacze.
Odkrycie luki nastąpiło w ramach szerszego dochodzenia kryminalistycznego w sprawie kampanii szpiegowskiej Velvet Ant. W jego przebiegu Sygnia odkryła podejrzane polecenia zakodowane w Base64, które zostały wykonane przy użyciu prawidłowych poświadczeń administracyjnych. Zostały one użyte do załadowania i wykonania pliku binarnego.
Podczas badania infrastruktury Velvet Ant nie było już aktywne. Praktyką grupy jest usuwanie dowodów pobytu po włamaniu. Niemniej Sygnia była w stanie odtworzyć złośliwe oprogramowanie, które zostało użyte, z pamięci urządzenia. Nazwała je VelvetShell – to hybrydowa konstrukcja dwóch narzędzi typu open source, TinyShell (tylne wejście Unix) i 3proxy.
Chociaż narzędzia te mają długą historię oddzielnego złośliwego użycia, Velvet Ant włączył je do jednego pliku binarnego. W tym połączonym formacie umożliwiało wykonywanie dowolnych poleceń, pobieranie i przesyłanie plików oraz tworzenie tuneli do obsługi ruchu sieciowego przez proxy. Krótko mówiąc, zapewniało rozległą kontrolę nad naruszonym systemem, umożliwiając zarówno eksfiltrację danych, jak i stały dostęp.
Początkowa luka typu zero-day, w tej chwili załatana przez Cisco, nie jest łatwa do wykorzystania. Atakujący musi mieć dostęp do sieci i poświadczenia administratora, aby uzyskać dostęp do przełącznika Nexus. Ta złożoność wyjaśnia, dlaczego luka w zabezpieczeniach Nexus otrzymała jedynie ocenę krytyczną „średnią” w poradniku Cisco. Jednak, jeżeli uda się to osiągnąć, atakujący może wykorzystać lukę, aby uzyskać dostęp do systemu operacyjnego przełącznika i kontrolować go, a następnie zdobyć dostęp do innych urządzeń i je wykorzystać, pozostając ukrytym przed stosem zabezpieczeń sieci.
