Cisco a avertizat astăzi că un grup de hackeri susținut de stat a exploatat două vulnerabilități zero-day în firewall-urile Adaptive Security Appliance (ASA) și Firepower Threat Defense (FTD) începând din noiembrie 2023 pentru a sparge rețelele guvernamentale la nivel mondial.
Hackerii, identificați ca UAT4356 de Cisco Talos și STORM-1849 de către Microsoft, au început să se infiltreze în dispozitivele vulnerabile de frontieră la începutul lunii noiembrie 2023 într-o campanie de cyber-spionaj urmărită sub numele de ArcaneDoor.
Chiar dacă Cisco nu a identificat încă vectorul de atac inițial, a descoperit și a remediat două deficiențe de securitate – CVE-2024-20353 (denial of service) și CVE-2024-20359 (execuție locală persistentă a codului) – pe care actorii de amenințare le-au folosit ca zero-day-uri în aceste atacuri.
Cisco a devenit conștient de campania ArcaneDoor la începutul lunii ianuarie 2024 și a găsit dovezi că atacatorii au testat și au dezvoltat exploatații pentru a vizat cele două zero-day-uri încă din iulie 2023.
Cele două vulnerabilități au permis actorilor de amenințare să implementeze malware-uri anterior necunoscute și să mențină persistența pe dispozitivele compromise ASA și FTD.
Unul dintre implanturile de malware, Line Dancer, este un încărcător de shellcode în memorie care ajută la livrarea și executarea de încărcături de shellcode arbitrare pentru a dezactiva jurnalizarea, a oferi acces la distanță și a exfiltrata pachetele capturate.
Al doilea implant, o ușă din spate persistentă numită Line Runner, vine cu mai multe mecanisme de evitare a apărării pentru a evita detectarea și permite atacatorilor să ruleze cod Lua arbitrar pe sistemele sparte.
„Acest actor a utilizat unelte personalizate care au demonstrat un accent clar pe spionaj și o cunoaștere profundă a dispozitivelor vizate, semne distinctive ale unui actor sofisticat susținut de stat,” a declarat Cisco.
„UAT4356 a implementat două uși din spate ca componente ale acestei campanii, ‘Line Runner’ și ‘Line Dancer’, care au fost utilizate colectiv pentru a efectua acțiuni malefice pe țintă, care au inclus modificarea configurației, recunoașterea, capturarea / exfiltrarea traficului de rețea și potențialul de mișcare laterală.”
Un aviz comun publicat astăzi de Centrul Național pentru Securitate Cibernetică (NCSC) din Marea Britanie, Centrul pentru Securitate Cibernetică din Canada (Cyber Centre) și Centrul Austral al Securității Cibernetice din Direcția Semnalelor Australiene a declarat că actorii malefici au folosit accesul lor pentru:
Compania a lansat actualizări de securitate miercuri pentru a remedia cele două zero-day-uri și acum „recomandă cu tărie” tuturor clienților să-și actualizeze dispozitivele la software-ul remediat pentru a bloca orice atacuri venitoare.
Administratorii Cisco sunt de asemenea „puternic încurajați” să monitorizeze jurnalele sistemului pentru orice semne de reporniri nesolicitate, modificări neautorizate de configurație sau activitate suspectă a credențialelor.
„Indiferent de furnizorul dvs. de echipamente de rețea, acum este momentul să vă asigurați că dispozitivele sunt corect patch-uite, jurnalizate într-o locație centrală și se configurează pentru a avea autentificare puternică multi-factor (MFA),” a adăugat compania.
Cisco oferă, de asemenea, instrucțiuni privind verificarea integrității dispozitivelor ASA sau FTD în această recomandare.
Mai devreme în acest lună, Cisco a avertizat despre atacuri brute-force la scară largă care vizează serviciile VPN și SSH pe dispozitive Cisco, CheckPoint, Fortinet, SonicWall și Ubiquiti la nivel mondial.
În martie, a împărtășit, de asemenea, îndrumări privind mitigarea atacurilor de pulverizare a parolelor care vizează serviciile Remote Access VPN (RAVPN) configurate pe dispozitivele de firewall securizate Cisco.
CrushFTP avertizează utilizatorii să patcheze zero-day-ul exploatat „imediat”
MITRE spune că hackerii de stat au spart rețeaua sa prin zero-day-urile Ivanti
Cisco dezvăluie o defecțiune de escaladare a privilegiilor cu cod de exploit public
Hackerii rusești Sandworm se prezintă drept hacktiviști în încălcările de utilități de apă
Exploatarea eliberată pentru bug-ul Palo Alto PAN-OS folosit în atacuri, patch acum
Leave a Reply