Un actor de amenazas patrocinado por el estado ha explotado dos vulnerabilidades de día cero de Cisco en dispositivos de firewall para apuntar al perímetro de las redes gubernamentales con dos puertas traseras personalizadas, en una campaña global de ciberespionaje.
Apodada “ArcaneDoor”, la campaña del actor previamente desconocido, que los investigadores de Cisco Talos rastrean como UAT4356, se ha dirigido a los dispositivos de firewall Cisco Adaptive Security Appliance (ASA) de varios clientes de Cisco desde al menos diciembre de 2023, investigadores de Cisco Talos. revelado en un blog.
Si bien el vector de acceso inicial del actor sigue siendo desconocido, una vez que ocurrió, UAT4356 utilizó una "cadena de ataque sofisticada" que involucraba la explotación de las dos vulnerabilidades: una falla de denegación de servicio rastreada como CVE-2024-20353 y una falla de ejecución local persistente rastreada como CVE-2024-20359 que desde entonces sido parcheado – para implantar malware y ejecutar comandos en un pequeño conjunto de clientes de Cisco. Cisco Talos también señaló una tercera falla en ASA, CVE-2024-20358, que no se utilizó en la campaña ArcaneDoor.
Los investigadores también encontraron evidencia de que el actor tiene interés y potencialmente atacará dispositivos de Microsoft y otros proveedores, por lo que es crucial que las organizaciones se aseguren de que todos los dispositivos perimetrales "estén parcheados adecuadamente, inicien sesión en una ubicación central y segura y estén configurados para tener una seguridad fuerte". autenticación multifactor (MFA)”, escribió Cisco Talos en la publicación.
Malware de puerta trasera personalizado para gobiernos globales
La primera señal de actividad sospechosa en la campaña se produjo a principios de 2024, cuando un cliente se comunicó con el Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco y con Cisco Talos sobre preocupaciones de seguridad con sus dispositivos de firewall ASA.
Una investigación posterior de varios meses de duración realizada por Cisco y socios de inteligencia descubrió una infraestructura controlada por actores de amenazas que se remonta a principios de noviembre de 2023. La mayoría de los ataques, todos ellos dirigidos a redes gubernamentales a nivel mundial, ocurrieron entre diciembre y principios de enero. También hay evidencia de que el actor, al que Microsoft ahora también está rastreando como STORM-1849, estaba probando y desarrollando su capacidad ya en julio pasado.
Las principales cargas útiles de la campaña son dos puertas traseras personalizadas, “Line Dancer” y “Line Runner”, que UAT4356 utilizó juntas para realizar actividades maliciosas en la red, como configuración y modificación; reconocimiento; captura/exfiltración del tráfico de red; y potencialmente movimiento lateral.
Line Dancer es un intérprete de shellcode residente en memoria que permite a los adversarios cargar y ejecutar cargas útiles de shellcode arbitrarias. En la campaña, Cisco Talos observó que el malware se utilizaba para ejecutar varios comandos en un dispositivo ASA, entre ellos: deshabilitar el syslog; ejecutar y filtrar el comando show configuración; crear y extraer capturas de paquetes; y ejecutar comandos presentes en el código shell, entre otras actividades.
Mientras tanto, Line Runner es un mecanismo de persistencia implementado en el dispositivo ASA que utiliza una funcionalidad relacionada con una capacidad heredada que permitía la precarga de clientes VPN y complementos en el dispositivo durante el arranque que puede explotarse como CVE-2024-20359, según Cisco. Talos. En al menos un caso, el actor de amenazas también abusó de CVE-2024-20353 para facilitar este proceso.
"Los atacantes pudieron aprovechar esta vulnerabilidad para hacer que el dispositivo ASA objetivo se reiniciara, lo que provocó la descompresión y la instalación" de Line Runner, según los investigadores.
Proteja el perímetro de los ciberatacantes
Los dispositivos perimetrales, que se encuentran en el borde entre la red interna de una organización e Internet, "son el punto de intrusión perfecto para campañas centradas en el espionaje", proporcionando actores de amenaza una forma de ganar terreno para “entrar directamente en una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red en la red segura”, según Cisco Talos.
Días cero en estos dispositivos hay una superficie de ataque especialmente atractiva en estos dispositivos, señala Andrew Costis, líder del capítulo del equipo de investigación de adversarios en la firma de pruebas MITRE ATT&CK. Ataque IQ.
"Hemos visto una y otra vez vulnerabilidades críticas de día cero y día n explotadas con todos los dispositivos y software de seguridad convencionales", afirma, señalando ataques anteriores a errores en dispositivos de Ivanti, Palo Alto Networks, Y otros.
La amenaza a estos dispositivos resalta la necesidad de que las organizaciones los parcheen “rutinaria y rápidamente” utilizando versiones y configuraciones de hardware y software actualizadas, así como también mantengan un estrecho monitoreo de seguridad de ellos, según Cisco Talos.
Las organizaciones también deberían centrarse en los TTP posteriores al compromiso de los actores de amenazas y probar los comportamientos conocidos de los adversarios como parte de "un enfoque en capas" para las operaciones defensivas de la red, dice Costis.
Detección de actividad de ciberataque ArcaneDoor
Los indicadores de compromiso (IoC) que los clientes pueden buscar si sospechan que pueden haber sido atacados por ArcaneDoor incluyen cualquier flujo hacia/desde dispositivos ASA a cualquiera de las direcciones IP presentes en la lista de IOC incluida en el blog.
Las organizaciones también pueden emitir el comando “mostrar región de memoria | incluir a lina” para identificar a otro COI. "Si el resultado indica más de una región de memoria ejecutable... especialmente si una de estas secciones de memoria tiene exactamente 0x1000 bytes, entonces esto es una señal de posible manipulación", escribió Cisco Talos.
Y Cisco proporcionó dos conjuntos de pasos que los administradores de red pueden seguir para identificar y eliminar la puerta trasera de persistencia ArcaneDoor Line Runner en un dispositivo ASA una vez que se aplica el parche. La primera es realizar una revisión del contenido del disco0; Si aparece un archivo nuevo (por ejemplo, “client_bundle_install.zip” o cualquier otro archivo .zip inusual) en el disco, significa que Line Runner estuvo presente pero ya no está activo debido a la actualización.
Los administradores también pueden seguir una serie de comandos proporcionados que crearán un archivo inofensivo con una extensión .zip que el ASA leerá al reiniciar. Si aparece en el disco 0, significa que Line Runner probablemente estaba presente en el dispositivo en cuestión. Luego, los administradores pueden eliminar el archivo “client_bundle_install.zip” para eliminar la puerta trasera.
Si los administradores encuentran un archivo .zip recién creado en sus dispositivos ASA, deben copiar ese archivo del dispositivo y enviarlo por correo electrónico. [email protected] utilizando una referencia a CVE-2024-20359 e incluyendo las salidas de los comandos “dir disk0:” y “show version” del dispositivo, así como el archivo .zip que extrajeron.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
