Cisco Nexusデバイスのゼロデイ脆弱性 CVSSスコアは低いが"あなどると危険"：Cybersecurity Dive

NX-OSの脆弱性のスコアは6.0と決して高くないが、スパイ行為者と疑われる人物が、さまざまなスイッチングデバイスのコマンドインジェクションの脆弱性を悪用するためにカスタムマルウェアを展開している。

[David Jones，Cybersecurity Dive]

　研究者たちは2024年7月1日（現地時間）、「中国に関連する攻撃者が、Ciscoのソフトウェアである『NX-OS』のゼロデイ脆弱（ぜいじゃく）性を積極的に悪用している恐れがある」と述べた。

スコア以上の危険をもたらす攻撃者の巧妙さ

　サイバーセキュリティ事業を営むSygniaの研究者によると、「Velvet Ant」と名付けられたこの攻撃者は「CVE-2024-20399」として識別されているコマンドインジェクションの脆弱性を悪用しており（注1）、「Cisco Nexus」のデバイスに広く影響を及ぼしているという。共通脆弱性評価システム（CVSS）における同脆弱性のスコアは6.0だ。しかし、研究者は「攻撃者は非常に巧妙で、カスタムマルウェアを展開している」と警告している（注2）。

　Ciscoは2024年7月1日、一部のNX-OSのハードウェアプラットフォーム向けにソフトウェアアップデートをリリースし（注3）、準備ができ次第、追加の修正をリリースし続ける予定である旨を発表した。同社は「この欠陥に対処する他の方法はない」と述べている。

　Sygniaは、Velvet Antのスパイ活動に関する大規模な調査の中で、この悪用を発見し、被害者のコンピュータネットワークで攻撃者が3年間も活動していたことを突き止めた。

　研究者は以前の調査において、インターネットに公開された旧型のF5 BIG-IPアプライアンスに（注4）、国家から支援を受ける攻撃者が永続的なアクセス権を維持していることを発見した。

　Sygniaは2024年のはじめにCisco Nexusのデバイスに対する脅威活動を発見し、同社に報告した。

　Sygniaのアムノン・クシュニール氏（インシデント対応ディレクター）によると、Cisco Nexusのデバイスはデータセンターのバックボーンスイッチとして使用されることが多い。Linuxベースのオペレーティングシステムに対するルートアクセスを取得し、カスタムマルウェアを展開するハッカーの高度な能力が、脅威活動を特に困難なものにしている。

　Sygniaの研究者によると、スイッチのようなネットワークアプライアンスは監視されていないことが多く、通常、ログは集中ログシステムに送信されない。カスタムマルウェアによって、ハッカーはコードの実行とトラフィックのトンネリングが可能になり、マルウェアが1度展開されると、ハッカーはネットワークにアクセスするためにログインする必要がなくなる。

　米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（以下、CISA）は、このバグを「既知の悪用された脆弱性カタログ」（Known Exploited Vulnerabilities Catalog）に追加した。攻撃者は同脆弱性によって、ルート権限で任意のコマンドを実行できるようになる。ただし、この脆弱性を悪用するために、攻撃者は管理者の認証情報を保有している必要がある。

（注1）CVE-2024-20399 Detail（NIST）
（注2）China-Nexus Threat Group ‘Velvet Ant’ Exploits Cisco Zero-Day (CVE-2024-20399) to Compromise Nexus Switch Devices Advisory for Mitigation and Response（SYGNIA）
（注3）Cisco NX-OS Software CLI Command Injection Vulnerability（CISCO）
（注4）China-Nexus Threat Group ‘Velvet Ant’ Abuses F5 Load Balancers for Persistence（SYGNIA）

原文へのリンク