# CVE-2024-20399 > [!medium] Command Injection no Cisco NX-OS - Explorado pelo Velvet Ant > Injeção de comando no CLI do Cisco NX-OS permite que administradores locais executem comandos arbitrários como root, contornando as restrições de segurança do sistema operacional. Explorada pelo grupo de espionagem **Velvet Ant** (APT chinês) para instalar malware persistente em switches Nexus de data center. ## Visão Geral [[cve-2024-20399|CVE-2024-20399]] afeta o Cisco NX-OS, sistema operacional dos switches Nexus amplamente utilizados em data centers corporativos. A vulnerabilidade no componente CLI permite que um atacante com credenciais de administrador injete comandos adicionais que são executados no contexto do sistema operacional subjacente com privilégios de root, contornando a camada de abstração do NX-OS. O grupo [[g1047-velvet-ant|Velvet Ant]], um APT de espionagem associado à China rastreado pela Sygnia, explorou esta vulnerabilidade em uma campanha sofisticada de comprometimento de infraestrutura de rede. O vetor de ataque envolve primeiro comprometer credenciais de administrador de rede (via phishing ou reutilização de senhas) e então usar esta CVE para instalar implantes persistentes nos switches - sobrevivendo a reboots e atualizações de firmware. A persistência em switches de data center é particularmente perigosa: equipamentos de rede raramente são monitorados por EDR ou soluções de segurança convencionais, e o acesso ao switch dá visibilidade completa de todo o tráfego que passa por ele. Para organizações com data centers corporativos no Brasil, a monitoria de integridade de equipamentos Cisco Nexus é uma lacuna de segurança comum. > [!latam] Relevância LATAM > Grandes data centers corporativos brasileiros com infraestrutura Cisco Nexus devem auditar a integridade de seus switches para sinais de comprometimento pelo Velvet Ant. A verificação de arquivos não-padrão no sistema de arquivos do NX-OS é o indicador primário de implante ativo. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Command Injection (CWE-77) | | Componente | Cisco NX-OS CLI | | Pré-requisito | Credenciais de administrador local | | Impacto | Execução de código como root, persistência no switch | | Afeta | Cisco Nexus 3000, 5500, 5600, 6000, 7000, 9000 | ## TTPs Associadas - [[t1078-valid-accounts|T1078]] - Credenciais de admin como pré-requisito - [[t1059-004-unix-shell|T1059.004]] - Execução de shell no NX-OS - [[t1542-003-bootkit|T1542.003]] - Implante persistente sobrevivendo a reboots - [[t1040-network-sniffing|T1040]] - Sniffing de tráfego de rede via acesso ao switch ## Detecção e Defesa **Mitigação primária:** Aplicar patches Cisco para NX-OS conforme advisory de julho 2024. **Indicadores de comprometimento (Velvet Ant):** - Arquivos não-padrão em `/bootflash/` ou `/volatile/` no NX-OS - Conexões de rede incomuns do switch para IPs externos - Processos desconhecidos em execução no sistema **Mitigações adicionais:** - [[m1026-privileged-account-management|M1026]] - MFA para acesso CLI a switches Nexus - [[m1030-network-segmentation|M1030]] - Segmentar acesso de gerenciamento de rede - [[m1054-software-configuration|M1054]] - Baseline de integridade do NX-OS ## Referências - [Cisco Security Advisory cisco-sa-nxos-cmd-injection](https://sec.cloudapps.cisco.com/security/center) - [Sygnia - Velvet Ant Campaign Analysis](https://www.sygnia.co) - [CISA - Cisco NX-OS vulnerability](https://www.cisa.gov)