중국 연계 사이버 스파이 그룹인 벨벳 안트(Velvet Ant)가 시스코 NX-OS 소프트웨어에 있는 제로데이 취약점을 악용하고 있다는 사실이 사이버 보안 업체 시그니아(Sygnia)의 최신 보고서에서 밝혀졌다.

CVE-2024-20399로 추적되는 이 취약점은 인증된 로컬 공격자가 영향을 받는 장치의 기본 운영 체제에서 루트 권한으로 임의의 명령을 실행할 수 있게 하는 명령 삽입 취약점이다.

CVSS 점수 6.0을 받은 이 취약점은 Cisco NX-OS 소프트웨어의 특정 구성 CLI 명령에 전달된 인수의 유효성 검사가 불충분한 데서 기인했다. 공격자는 영향을 받는 구성 CLI 명령의 인수로 조작된 입력을 포함시켜 이 취약점을 악용할 수 있다. 시스코는 이 문제가 관리자 권한을 가진 사용자가 시스템 syslog 메시지를 트리거하지 않고 명령을 실행할 수 있게 하여 해킹된 장치에서 셸 명령 실행을 숨길 수 있다고 밝혔다.

다음의 시스코장치들이 CVE-2024-20399에 영향을 받는다:

- MDS 9000 시리즈 멀티레이어 스위치
- Nexus 3000 시리즈 스위치
- Nexus 5500 플랫폼 스위치
- Nexus 5600 플랫폼 스위치
- Nexus 6000 시리즈 스위치
- Nexus 7000 시리즈 스위치
- 단독 NX-OS 모드의 Nexus 9000 시리즈 스위치

시그나니아는 지난 1년 동안 진행된 포렌식 조사 중 CVE-2024-20399를 현장에서 악용하는 겋ㄹ발견했다고 밝혔다. 시스코는 2024년 4월에 이 취약점의 악용 시도에 대해 인지했다고 언급했다.

이 취약점을 악용함으로써 Velvet Ant는 이전에 알려지지 않은 맞춤형 악성 코드를 성공적으로 배포하여, 위협 그룹이 손상된 시스코 넥서스 장치에 원격으로 접속할 수 있도록 했다. 이 악성 코드는 추가 파일 업로드 및 코드 실행을 가능하게 했다. 이는 Velvet Ant가 그들의 스파이 활동을 유지하기 위해 사용하는 정교한 전술을 사용한 것이다. 

Velvet Ant는 지난달 시그니아에 의해 처음으로 문서화되었으며, 동아시아의 이름이 밝혀지지 않은 조직을 대상으로 한 사이버 공격과 관련이 있다. 이 그룹은 낡은 F5 BIG-IP 장치를 악용하여 네트워크 내에 지속성을 확보함으로써 약 3년 동안 고객 및 재무 정보를 은밀히 탈취한 것으로도 유명하다. 

네트워크 장치, 특히 스위치는 종종 면밀히 모니터링되지 않으며, 그 로그는 중앙 집중식 로깅 시스템으로 전달되지 않는 경우가 많다. 이러한 모니터링 부족은 악의적 활동을 식별하고 조사하는 데 상당한 어려움을 초래한다고 시그니아는 강조했다. Velvet Ant의 작전은 은밀하며 네트워크 장치 취약점을 악용함으로써 조직이 그들의 활동을 감지하고 완화하기 어렵게 만든다.

시스코는 관리자들에게 필요한 업데이트를 적용하고 네트워크 장치의 모니터링을 철저히 할 것을 촉구했다.

이번 사건은 위협 행위자들이 D-Link DIR-859 와이파이 라우터의 치명적 취약점(CVE-2024-0769)을 악용하고 있다는 보고와 맞물려 있다. 이 취약점은 장치의 수명이 다해 패치가 제공되지 않기 때문에 장기적인 악용 위험을 내포하고 있어 주의해야 한다.