# Velvet Ant > [!danger] Zero-Day Cisco NX-OS - Persistência em Network Devices > Em 2024, Velvet Ant explorou CVE-2024-20399 (zero-day adicionado ao CISA KEV) para comprometer switches Cisco Nexus, instalando o malware customizado VelvetShell no sistema operacional Linux subjacente - invisivel a todas as ferramentas de segurança convencionais. A técnica representa a fronteira mais avancada de persistência em redes corporativas. ## Visão Geral Velvet Ant e um grupo de espionagem cibernética nexo-China, nomeado e rastreado pela empresa israelense Sygnia, ativo desde pelo menos 2021. O grupo e caracterizado por uma evolução metodica em sofisticacao: comecou comprometendo endpoints Windows convencionais, migrou para servidores legados com pouca visibilidade de segurança, depois para appliances F5 BIG-IP expostos a internet, e culminou em 2024 com a exploração de um zero-day em switches Cisco Nexus (NX-OS) para operar diretamente no nivel do sistema operacional Linux subjacente. Nota: Sygnia descreve Velvet Ant como "China-nexus" (nao necessáriamente estado-patrocinado com evidência direta), mas a sofisticacao e o padrao de espionagem sugerem forte alinhamento com interesses estatais chineses. **Arsenal exclusivo:** - **VelvetShell** - malware customizado: hibrido de TinyShell (backdoor Unix) + 3proxy, instalado em switches Cisco Nexus - **PlugX** - utilizado em fase de comprometimento de endpoints Windows - **Impacket** - toolkit de movimento lateral em redes Windows ## Evolução Tática (Multi-Ano) ```mermaid graph TB A["Fase 1 - 2021-2022<br/>Endpoints Windows comuns<br/>Logs e visibilidade normais"] --> B["Fase 2 - 2022-2023<br/>Servidores Windows legados<br/>Windows 2003: sem EDR moderno"] B --> C["Fase 3 - 2023<br/>F5 BIG-IP appliances<br/>Dispositivos black-box externos"] C --> D["Fase 4 - 2024<br/>Cisco NX-OS zero-day<br/>CVE-2024-20399 - invisivel ao stack"] D --> E["VelvetShell em NX-OS Linux<br/>Execução arbitraria<br/>Download/upload + tunneling"] style A fill:#2471a3,color:#fff style B fill:#e67e22,color:#fff style C fill:#c0392b,color:#fff style D fill:#7d3c98,color:#fff style E fill:#145a32,color:#fff ``` ## CVE-2024-20399 - Análise Técnica A vulnerabilidade reside no CLI (Command Line Interface) do Cisco NX-OS: - **Tipo:** Command injection via argumentos de comandos de configuração - **Pre-requisito:** Credenciais de administrador válidas no console de gerenciamento do switch - **Impacto:** Escape do nivel CLI/aplicação para o nivel OS Linux subjacente com privilegios root - **Por que e critico:** O nivel NX-OS Linux e invisivel ao administrador e a todo o stack de segurança; scanning de IoCs e práticamente impossível - **CVSS:** 6.0 (Cisco) / 6.7 (NVD) - subestimado dado o contexto real de comprometimento - **CISA KEV:** Adicionado em 2 de julho de 2024 Dispositivos afetados: Cisco MDS 9000, Nexus 3000/5500/5600/6000/7000/9000 series ## Timeline de Descoberta ```mermaid timeline title Velvet Ant - Descoberta e Resposta 2021 : Inicio estimado de operacoes 2023 : Sygnia inicia investigação de intrusão multi-ano junho 2024 : Sygnia divulga comprometimento de F5 BIG-IP como segundo estagio julho 2024 : Cisco lanca patch para CVE-2024-20399 + Sygnia divulga zero-day julho 2024 : CISA adiciona CVE-2024-20399 ao Known Exploited Vulnerabilities agosto 2024 : Sygnia divulga análise completa do VelvetShell e TTPs 2024 : Grupo ativo - operacoes continuam com novas técnicas ``` ## TTPs Detalhadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de F5 BIG-IP e Cisco NX-OS - [[t1037-004-rc-scripts|T1037.004 - RC Scripts]] - persistência via scripts de inicializacao em sistemas Unix/Linux - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - VelvetShell como proxy interno de rede - [[t1040-network-sniffing|T1040 - Network Sniffing]] - captura de trafego de rede em switches comprometidos - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - mapeamento de arquivos criticos - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - execução de comandos no Linux subjacente do NX-OS - [[t1055-process-injection|T1055 - Process Injection]] - injecao em processos legiítimos para ocultacao - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - desativacao de ferramentas de segurança - [[t1078-003-local-accounts|T1078.003 - Local Accounts]] - uso de contas locais de administrador - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Masquerading]] - renomeacao de malware como binarios legitimos (ex: `ufdm` do Cisco) - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via protocolos da camada de aplicação - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - comúnicacoes C2 criptografadas - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - transferencia de ferramentas via rede comprometida - [[t1574-001-dll|T1574.001 - DLL Search Order Hijacking]] - sequestro de DLLs em sistemas Windows ## Software Utilizado - [[velvetshell|VelvetShell]] - malware exclusivo: TinyShell + 3proxy em binario único para NX-OS - [[s0013-plugx|PlugX]] - RAT modular para fase de comprometimento Windows - [[s0357-impacket|Impacket]] - framework Python para movimento lateral em redes Windows ## Relevância para o Brasil e LATAM Velvet Ant representa um risco para qualquer organização que opera switches Cisco Nexus, especialmente em setores financeiros, telecomúnicacoes e governo - todos prevalentes no Brasil. A abordagem de "black box" em network appliances e especialmente preocupante porque: 1. Switches Cisco Nexus sao amplamente usados em data centers de bancos e telecom brasileiras 2. Equipamentos de rede sao historicamente negligenciados em auditorias de segurança e programas de patch management no Brasil 3. Uma backdoor em um switch core permite monitoramento completo de todo trafego corporativo Versoes desatualizadas de NX-OS ainda em uso em infraestrutura legada brasileira permanecem vulneraveis. > [!warning] Acao Imediata Recomendada > Auditar versoes de firmware em todos os switches Cisco Nexus. Aplicar patch para CVE-2024-20399. Implementar monitoramento de logging de contabilidade (accounting logs) nos switches. Credenciais de administrador de switches devem ser rotacionadas regularmente e protegidas por MFA. ## Detecção e Hunting - Revisar accounting logs de switches Cisco Nexus para comandos Base64-encoded suspeitos - Monitorar credenciais de `network-admin` e `vdc-admin` para uso anomalo - Hunting por binarios renomeados como `ufdm` em dispositivos Nexus - Detectar conexoes SSH de saida nao autorizadas de appliances de rede - Implementar Network Flow Analytics para identificar trafego anomalo originado de switches ## Referências - [1](https://www.sygnia.co/blog/china-threat-group-velvet-ant-cisco-zero-day/) Sygnia - Velvet Ant Cisco NX-OS Zero-Day Analysis (2024) - [2](https://thehackernews.com/2024/08/chinese-hackers-exploit-zero-day-cisco.html) The Hacker News - Chinese Hackers Exploit Zero-Day Cisco Switch Flaw (2024) - [3](https://www.securityweek.com/cisco-patches-nx-os-zero-day-exploited-by-chinese-cyberspies/) SecurityWeek - Cisco Patches NX-OS Zero-Day Exploited by Chinese Cyberspies (2024) - [4](https://eclypsium.com/blog/squashing-the-velvet-ant-how-eclypsium-protects-cisco-nx-os-and-f5-load-balancers/) Eclypsium - Squashing the Velvet Ant (2024) - [5](https://attack.mitre.org/groups/G1047/) MITRE ATT&CK - G1047 Velvet Ant