סיגניה חשפה פרצה במערכת סיסקו – שביצעה "נמלת הקטיפה" הסינית

נחשפה חולשת אבטחה בתוכנת Cisco NX-OS של סיסקו, המשפיעה על מגוון רחב של ציוד תקשורת מסוג Cisco Nexus, הנמצא בשימוש בקרב ארגונים רבים בארץ ובעולם. את החולשה גילו חוקרי סיגניה (Sygnia) הישראלית.

את פרצת האבטחה ביצעה קבוצת ההאקרים הסינית נמלת הקטיפה (Velvet Ant) – אחת מקבוצות הפריצה המתוחכמות בעולם. חוקרי סיגניה שגילו את הפגיעות דיווחו עליה לסיסקו, וסיפקו לה מידע מפורט על מהלך התקיפה, שבוצעה, כאמור, למטרות ריגול.

Cyber espionage group, Velvet Ant, exploits zero-day flaw in Cisco NX-OS Software to deliver malware. CVE-2024-20399 (CVSS score: 6.0), is a command injection issue that allows authenticated, local attackers to execute arbitrary commands. https://t.co/mXPSlEq5Vt #Cisco #Malware pic.twitter.com/JqcXrAlCa4

— CyberCloud Consulting (@_CyberCloud_) July 3, 2024

הפרשה החלה כשחוקרי סיגניה נקראו לסייע ללקוח שלה, שהותקף על-ידי קבוצת הפריצה. חולשת האבטחה זוהתה כחלק מחקירה נרחבת שביצעו. על ידי ניצול פגיעות זו, קבוצת ההאקרים הסינית הצליחה להריץ נוזקה פרי פיתוח של הקבוצה. זו לא הייתה ידועה בעבר, והיא אפשרה להאקרים להתחבר מרחוק למכשירי Cisco Nexus שנפגעו, להעלות קבצים נוספים ולהפעיל נוזקה במכשירים.

התנהלות קבוצת ההאקרים, הפועלת בחסות סין, מתאפיינת בניצול חולשות אבטחה בציוד תקשורת של יצרניות גלובליות שונות, על מנת להקשות על חשיפתן בעזרת אמצעי הניטור השגרתיים שבארגון. כך מבטיחים ההאקרים הסינים גישה ממושכת לרשת הארגונית, תוך שהם מנסים לגנוב מידע רגיש לצורכי ריגול.

החולשה מאפשרת לתוקף – אשר הצליח להשיג גישת אדמין לציוד התקשורת של סיסקו – להריץ פקודות שרירותיות ישירות על מערכת ההפעלה, מסוג לינוקס, שבבסיס מערכת ההפעלה של סיסקו. זאת, תוך כדי שהתוקף "מדלג" בין שכבת סיסקו ללינוקס.

"התוקפים עברו לעבוד מתוך מכשירי ה-Cisco Nexus שבארגון המותקף"

אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בסיגניה. צילום: יח"צ

אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בסיגניה, אמר כי "על מנת להסתיר את עצמם טוב יותר ברשת, התוקפים עברו לעבוד מתוך מכשירי ה-Cisco Nexus הקיימים בתוך הארגון המותקף. הפעם, התוקף השתמש במכשירים האלו כדי להסתתר בתוך הארגון ומשם להוציא מתקפות בתוך רשת הארגון. זאת, מאחר שמרבית הארגונים לא מנטרים איומי סייבר במרחב של ציוד התקשורת בארגון".

החוקרים ציינו כי "ציוד רשתי, במיוחד מתגים – אינם מנוטרים לרוב, ולעתים קרובות הלוגים שלהם אינם מועברים למערכת ניטור מרכזית. חוסר הניטור הזה יוצר אתגרים משמעותיים בזיהוי וחקירה של פעילויות זדוניות". הם המליצו לארגונים לוודא שהם מקשיחים את הגישה למתגים, וכי הם מפעילים את אמצעי הניטור שלהם. 

ביוני האחרון נחשף כי חברי הקבוצה השיקו מתקפה ממושכת באמצעות נוזקה שנפרסה במכשירי BIG-IP של F5. חקירה העלתה כי ההאקרים הסינים עשו זאת במשך שלוש שנים. הם השתמשו במכשירי F5 מדור קודם כשרתי פיקוד ושליטה (C2) פנימיים, פרסו נוזקות והצליחו לגנוב נתונים רגישים, תוך התחמקות חכמה מאיתורם.