Schwachstelle in NX-OS: Hacker attackieren Cisco-Switches seit Monaten
Der Netzwerkausrüster Cisco hat eine Warnung vor einer Schwachstelle in der NX-OS-Software mehrerer seiner Switch-Modellreihen herausgegeben, die von Hackern mindestens seit April aktiv ausgenutzt wird. Anhand der als CVE-2024-20399(öffnet im neuen Fenster) registrierten Sicherheitslücke sei es authentifizierten Angreifern möglich, auf dem Betriebssystem betroffener Switches mit Root-Rechten beliebige Befehle auszuführen, heißt es in der Mitteilung von Cisco(öffnet im neuen Fenster) .
Ursache der vom Hersteller als mittelschwer eingestuften Schwachstelle sei eine unzureichende Validierung von Argumenten, die mit bestimmten Konfigurations-CLI-Befehlen übergeben würden. Ausnutzen lasse sich der Fehler folglich durch die Übergabe speziell gestalteter Argumente an die Befehlszeilenschnittstelle von NX-OS.
Dabei sei es außerdem möglich, Syslog-Meldungen zu unterdrücken, was die Erkennung eines Angriffs erschwert. Jedoch weist Cisco auch darauf hin, dass ein Angreifer bereits über Admin-Zugangsdaten verfügen muss, um ein Zielgerät über die Sicherheitslücke attackieren zu können. Eine erfolgreiche Ausnutzung ist also nur in Kombination mit anderen Angriffsvektoren möglich.
Admins sollten dringend patchen
Nach Angaben des Herstellers betrifft CVE-2024-20399 Cisco-Switches aus den folgenden Baureihen:
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches im Standalone-NX-OS-Modus
Workarounds gegen eine mögliche Ausnutzung der Schwachstelle gibt es laut Cisco nicht, dafür hat der Hersteller aber inzwischen einen Patch bereitgestellt. Administratoren wird dringend empfohlen, betroffene Geräte entsprechend zu aktualisieren.
Grund für die Dringlichkeit ist vor allem der Umstand, dass CVE-2024-20399 schon mindestens seit April aktiv ausgenutzt wird. Die US-amerikanische Cybersicherheitsbehörde Cisa hatte bereits am Dienstag eine entsprechende Warnung herausgegeben(öffnet im neuen Fenster) .
Entdeckt wurde die Ausnutzung der Schwachstelle von einem Cybersicherheitsunternehmen namens Sygnia. Laut Bleeping Computer(öffnet im neuen Fenster) brachten die Sygnia-Forscher entsprechende Angriffe mit einer als Velvet Ant bekannten und mutmaßlich vom chinesischen Staat unterstützten Hackergruppe in Verbindung. Dabei sei eine zuvor unbekannte Malware zum Einsatz gekommen, die es den Angreifern ermöglicht habe, aus der Ferne auf kompromittierte Geräte zuzugreifen.