Chinesische Hacker nutzen Bug in Cisco-Switches zur Systemkontrolle
Es sind Details ans Licht gekommen, wie eine aus China stammende Hackergruppe eine zuvor unbekannte Schwachstelle in Cisco-Switches als Zero-Day-Angriff ausnutzt. Durch diesen Angriff konnten die Hacker die Kontrolle über die Geräte übernehmen, noch bevor die Sicherheitslücke bekannt und behoben wurde. Besonders alarmierend ist, dass sie dabei äußerst geschickt vorgingen, um nicht entdeckt zu werden.
Die Aktivitäten der Hackergruppe Velvet Ant wurden Anfang dieses Jahres entdeckt. Sie nutzten die Sicherheitslücke CVE-2024-20399 (mit einem CVSS-Score von 6.0), um speziell entwickelte Malware zu verbreiten. Damit konnten sie die Kontrolle über betroffene Systeme übernehmen, Daten stehlen und sich dauerhaft Zugriff verschaffen.
Laut dem Cybersicherheitsunternehmen Sygnia ermöglichte der Zero-Day-Exploit Angreifern mit gültigen Administrator-Anmeldedaten, die Befehlszeilenschnittstelle (CLI) des Cisco NX-OS zu umgehen und beliebige Befehle auf dem darunterliegenden Linux-Betriebssystem auszuführen.
Velvet Ant fiel den Forschern von Sygnia erstmals während einer lang andauernden Kampagne auf, die eine Organisation in Ostasien angriff. Dabei nutzten sie ältere F5 BIG-IP-Geräte, um sich dauerhaft in der Umgebung festzusetzen.
Die heimliche Ausnutzung der Schwachstelle wurde Anfang letzten Monats entdeckt, woraufhin Cisco Sicherheitsupdates bereitstellte, um das Problem zu beheben.
Bemerkenswert ist die Raffinesse und Flexibilität der Gruppe, die zunächst neue Windows-Systeme angriff, dann aber auf ältere Windows-Server und Netzwerkgeräte umstieg, um unentdeckt zu bleiben.
„Der Wechsel zu internen Netzwerkgeräten stellt eine Eskalation in den Umgehungstechniken dar, welche die Fortsetzung der Spionagekampagne sichern soll“, so Sygnia.
Die aktuelle Angriffskette begann mit dem Einbruch in eine Cisco-Switch-Appliance über die Schwachstelle CVE-2024-20399. Danach führten die Angreifer Aufklärungsarbeiten durch, wechselten zu anderen Netzwerkgeräten und installierten schließlich über ein bösartiges Skript eine Backdoor.
Diese Schadsoftware mit dem Namen VELVETSHELL kombiniert zwei Open-Source-Tools: die Unix-Backdoor Tiny SHell und das Proxy-Tool 3proxy. Sie ermöglicht den Angreifern, beliebige Befehle auszuführen, Dateien herunter- und hochzuladen sowie Netzwerkverkehr zu tunneln.
„Der Vorgehensweise von Velvet Ant zeigt, wie risikobehaftet Geräte und Anwendungen von Drittanbietern sein können“, warnt Sygnia. „Da viele Appliances wie eine ´Blackbox´ funktionieren, kann jedes Hardware- oder Software-Gerät zur Angriffsfläche werden, die ein Hacker ausnutzen kann.“