上个月思科公布网络设备操作系统NX-OS的零时差漏洞CVE-2024-20399，此为命令行界面（CLI）的命令注入漏洞，攻击者可在通过身分验证的情况下，在本机以root的权限，于目标设备的底层操作系统运行任意命令，早在4月，就接到其他厂商通报出现漏洞滥用攻击，最近这家资安公司的研究人员公布利用漏洞的攻击行动细节，并指出黑客得逞后，会在交换器部署后门程序VelvetShell。

Sygnia是在今年初看到这些黑客利用漏洞破坏、控制思科交换器设备，而能在受害企业以近乎隐形的方式从事活动。由于这项漏洞能让可存取主控台的管理者逃脱NX-OS的命令行界面（CLI），并在底层的Linux操作系统运行命令，这些黑客一旦成功利用漏洞，就会部署名为VelvetShell的恶意软件，黑客以公开的后门程序Tiny Shell及代理服务器程序3Proxy打造而成，具备运行命令的功能，并让黑客能上传或下载文件，还能通过代理服务器机制创建网络隧道，进而隐匿攻击行动。

在运行恶意程序之前，黑客先拷贝curl运行档并重命名为ufdm，然后通过LD_PRELOAD环境变量用于加载ufdm.so，并将相关代码注入特定处理进程，这么做的目的，其实是要将恶意程序的运行，伪装成思科交换器的处理进程。

接着，这些黑客下达ps及netstat命令，检查正在运作的处理进程及网络连接，借此控制恶意软件运行的流程。最后黑客在作案完成后，删除了ufdm及ufdm.so，企图抹除作案痕迹。

对于这项零时差漏洞攻击的发现，研究人员指出，他们长期观察Velvet Ant的活动，这些黑客先是针对一般Windows工作站电脑及服务器下手，后来锁定运行旧版操作系统的设备，使得受害组织难以察觉他们的踪迹。接着，这些黑客进一步利用F5负载平衡设备维持活动，如今则是将思科交换器设备当作活动据点。这一连串的变化，突显黑客组织的手法出现转变，偏好从网络设备寻求未知漏洞，从而占据设备做为进出受害组织的主要管道。