Egy államilag támogatott fenyegetettség szereplője a Cisco tűzfaleszközök két nulladik napi sebezhetőségét használta ki, hogy a kormányzati hálózatok peremét célozza meg két egyedileg épített hátsó ajtóval egy globális kiberkémkedési kampány során.

A korábban ismeretlen színész „ArcaneDoor” névre keresztelt kampánya – amelyet a Cisco Talos kutatói UAT4356-ként követnek nyomon – több Cisco-ügyfél Cisco Adaptive Security Appliance (ASA) tűzfaleszközeit célozta meg legalább 2023 decembere óta – állítják a Cisco Talos kutatói. kiderült egy blogbejegyzésben.

Míg a színész kezdeti hozzáférési vektora továbbra is ismeretlen, amint megtörtént, az UAT4356 egy „kifinomult támadási láncot” használt, amely magában foglalta a két sebezhetőség kihasználását – a szolgáltatásmegtagadási hibát CVE-2024 20353- és egy állandó helyi végrehajtási hiba nyomon követve CVE-2024 20359- amelyek azóta foltozva lett – rosszindulatú programok beültetésére és parancsok végrehajtására a Cisco-ügyfelek kis csoportjába. A Cisco Talos az ASA harmadik hibáját is jelezte, CVE-2024 20358-, amelyet nem használtak az ArcaneDoor kampányban.

A kutatók arra is bizonyítékot találtak, hogy a színész érdeklődik a Microsoft és más gyártók eszközei iránt, és potenciálisan meg is fogja támadni azokat, ezért kulcsfontosságú, hogy a szervezetek gondoskodjanak arról, hogy minden peremeszköz „megfelelően foltozva legyen, központi, biztonságos helyre naplózzanak, és erősre legyenek konfigurálva. többtényezős hitelesítés (MFA)” – írta a bejegyzésben a Cisco Talos.

Egyéni hátsó ajtó rosszindulatú programok globális kormányok számára

A gyanús tevékenység első jele a kampányban 2024 elején jelent meg, amikor egy ügyfél megkereste a Cisco Product Security Incident Response Team (PSIRT) és a Cisco Talos ASA tűzfaleszközeivel kapcsolatos biztonsági aggályait.

A Cisco és a titkosszolgálati partnerek ezt követően több hónapig tartó vizsgálata 2023. november elejétől fenyegető szereplők által irányított infrastruktúrát tárt fel. A támadások többsége – amelyek mindegyike globálisan kormányzati hálózatokat célzott – december és január eleje között történt. Arra is van bizonyíték, hogy a színész – amelyet a Microsoft is STORM-1849 néven követ – már tavaly júliusban tesztelte és fejlesztette képességeit.

A kampány elsődleges hasznos terhelése két egyedi hátsó ajtó – a „Line Dancer” és a „Line Runner” –, amelyeket az UAT4356 együtt használt rosszindulatú tevékenységek végrehajtására a hálózaton, mint például a konfiguráció és a módosítás; felderítés; hálózati forgalom rögzítése/kiszűrése; és potenciálisan oldalirányú mozgás.  

A Line Dancer egy memóriarezidens shellkód értelmező, amely lehetővé teszi az ellenfelek számára, hogy tetszőleges shellkód-rakományokat töltsenek fel és hajtsanak végre. A kampány során a Cisco Talos megfigyelte, hogy a rosszindulatú programot különféle parancsok végrehajtására használják egy ASA-eszközön, beleértve a következőket: a rendszernapló letiltása; a parancs megjelenítése konfiguráció futtatása és kiszűrése; csomagrögzítések létrehozása és kiszűrése; és a shellkódban található parancsok végrehajtása, többek között.

A Line Runner eközben az ASA-eszközön telepített perzisztencia-mechanizmus, amely egy örökölt képességhez kapcsolódó funkcionalitást használ, amely lehetővé tette a VPN-kliensek és beépülő modulok előzetes betöltését az eszközre a rendszerindítás során, amelyek CVE-2024-20359 néven használhatók a Cisco szerint. Talos. Legalább egy esetben a fenyegetettség szereplője visszaélt a CVE-2024-20353-mal, hogy megkönnyítse ezt a folyamatot.

A kutatók szerint a támadók képesek voltak kihasználni ezt a sérülékenységet, hogy a cél ASA eszközt újrainduljanak, ami elindította a Line Runner kicsomagolását és telepítését.

Védje meg a kerületet a kibertámadásoktól

A peremeszközök, amelyek a szervezet belső hálózata és az internet határán helyezkednek el, „tökéletes behatolási pontot jelentenek a kémkedésre összpontosító kampányokhoz”. fenyegetés szereplői A Cisco Talos szerint egy módja annak, hogy megvezessük a lábukat, hogy „közvetlenül beépüljünk egy szervezetbe, átirányítsuk vagy módosítsuk a forgalmat, és figyeljük a hálózati kommunikációt a biztonságos hálózatba.

Nulladik napok ezeken az eszközökön különösen vonzó támadási felület van ezeken az eszközökön, jegyzi meg Andrew Costis, a MITER ATT&CK tesztelőcég Adversary Research Team csoportvezetője. AttackIQ.

„Újra és újra láttunk kritikus nulla és n napos sebezhetőségeket kihasználni az összes főbb biztonsági eszközzel és szoftverrel” – mondja, megjegyezve a korábbi támadásokat az eszközökben található hibák ellen. Ivanti, Palo Alto Networks, És mások.

A Cisco Talos szerint az ezeket az eszközöket fenyegető veszély rávilágít arra, hogy a szervezeteknek „rutinszerűen és azonnal” javítaniuk kell őket a legfrissebb hardver- és szoftververziókkal és konfigurációkkal, valamint szoros biztonsági felügyeletet kell tartaniuk.

Costis szerint a szervezeteknek a fenyegetés szereplőinek kompromisszum utáni TTP-jére kell összpontosítaniuk, és tesztelniük kell az ismert ellenséges viselkedéseket a védekező hálózati műveletek „réteges megközelítésének” részeként.

Az ArcaneDoor kibertámadási tevékenység észlelése

A kompromisszumjelzők (IoC), amelyeket az ügyfelek kereshetnek, ha arra gyanakodnak, hogy az ArcaneDoor célpontjai lehetnek, magukban foglalják az ASA-eszközökre irányuló vagy onnan induló áramlásokat a blogban található IOC-listán szereplő IP-címek bármelyikére.

A szervezetek a „show memory region | parancsot is kiadhatják include lina” egy másik NOB azonosításához. „Ha a kimenet egynél több végrehajtható memóriaterületet jelez… különösen, ha az egyik memóriarész pontosan 0x1000 bájt, akkor ez az esetleges manipuláció jele” – írta a Cisco Talos.  

A Cisco két lépést is biztosított, amelyeket a hálózati rendszergazdák megtehetnek az ArcaneDoor perzisztencia backdoor Line Runner azonosítására és eltávolítására egy ASA-eszközön a javítás alkalmazása után. Az első a disk0 tartalmának áttekintése; ha egy új fájl (pl. „client_bundle_install.zip” vagy bármilyen más szokatlan .zip fájl) jelenik meg a lemezen, az azt jelenti, hogy a Line Runner jelen volt, de a frissítés miatt már nem aktív.

A rendszergazdák egy sor parancsot is követhetnek, feltéve, hogy egy ártalmatlan, .zip kiterjesztésű fájlt hoznak létre, amelyet az ASA újraindításkor beolvas. Ha megjelenik a disk0-n, az azt jelenti, hogy a Line Runner valószínűleg jelen volt a kérdéses eszközön. A rendszergazdák ezután törölhetik a „client_bundle_install.zip” fájlt a hátsó ajtó eltávolításához.

Ha a rendszergazdák újonnan létrehozott .zip fájlt találnak ASA-eszközeiken, ki kell másolniuk azt az eszközről, és el kell küldeniük. [e-mail védett] a CVE-2024-20359 hivatkozás használatával, és tartalmazza a „dir disk0:” és a „show version” parancsok kimeneteit az eszközről, valamint az általuk kicsomagolt .zip fájlt.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign