Kémkedéshez használták ki a Cisco tűzfalának sebezhetőségeit
A kiberbűnözők számára egyre vonzóbb célpontot jelentenek a hálózati biztonsági megoldások, most a Cisco Adaptive Security Appliances sérülékenységeit használta ki az ArcaneDoor néven említett támadássorozat, amely kormányzati hálózatokra irányult.
Államilag támogatott hackerek az ArcaneDoor néven említett, öthónapos támadási kampány keretén belül kormányzati hálózatokba próbáltak behatolni világszerte, a Cisco tűzfalainak két nulladik napi sebezhetőségén keresztül – jelentették szerdán kiberbiztonsági kutatók. A Cisco Talos biztonsági csapata szerint november óta a Cisco által UAT4356-ként (és a Microsoft által STORM-1849-ként) nyomon követett szereplők a Cisco Adaptive Security Appliance (ASA) és Firepower Threat Defense (FTD) eszközökben megbújó két nulladik napi sebezhetőséget használtak ki támadásaikhoz, két eddig korábban nem azonosított kártevő telepítéséhez.
A behatolási próbálkozások a kormányok és a kritikus infrastruktúra-hálózatok által használt VPN-szolgáltatásokat célozták meg szerte a világon. A támadás jellemzői és a kormányzati célpontok alapján a Tanos feltételezi, hogy az állami hackerek mögöttes motivációja a kémkedés volt, de nem nevezte meg, mely országhoz köti a tevékenységet (a meg nem alapozott sejtések szerint kínai csoportról lehet szó). A csoport novemberben állította fel a dedikált szerver-infrastruktúrát a támadásokhoz, amiket januárban indítottak meg.
A CVE-2024-20359 sebezhetőség a VPN-kliensek és beépülő modulok előzetes betöltését tette lehetővé az ASA-ban az eszközök sebezhető flash memóriájából, ezután vált lehetségessé a távoli kódfuttatás gyökkérrendszeri jogosultságokkal.
Legalább egy esetben a támadók kihasználták az ASA-t és FTD-t érintő másik, CVE-2024-20353 néven nyilvántartott sérülékenységet is, aminek súlyosságát 10-es skálán 8,6-ra értékelték a kutatók, mivel szolgáltatásmegtagadásos támadás kivitelezésére (DoS) ad lehetőséget.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A Cisco által Line Dancer és Line Runner néven említett malware-ek közül a Line Dancer implantátum egy memóriára támaszkodó megoldás, ami még nehezebbé tette, hogy a biztonsági szakértők észleljék. A Line Dancer telepítése után a hackerek egy egyszerű, nem hitelesített webes kéréssel rosszindulatú parancsokat tudtak futtatni a kompromittált eszközön. A Line Runner ezzel szemben azzal a céllal készült, hogy a fertőzések túléljék az eszköz újraindítását és rezisztensebbé váljanak.
A tűzfalat, VPN-t és más biztonsági funkciókat nyújtó Cisco Adaptive Security Appliances elleni támadás egy több hónapja látható trendet követ, amelyben a kiberbűnözők más gyártók tűzfalait, VPN-jeit és hálózati eszközeit kompromittálják, az érintettek listáján ott a Fortinet és a Palo Alto is. Az elmúlt másfél évben a főleg kínai kormány által támogatott csoportok többek közt az Ivanti, az Atlassian, a Citrix és a Progress biztonsági eszközeinek eddig fel nem tárt sebezhetőségei felé fordították figyelmüket. A hálózat peremén elhelyezkedő eszközök ideális célpontok, mivel közvetlenebb hozzáférést tesznek lehetővé az érzékenyebb erőforrásokhoz, és lehetőséget adnak a közlekedő adatok monitorozására.
A kutatók szerint a hálózati berendezés szolgáltatójától függetlenül az elmúlt időszakban látott támadások arra figyelmeztetnek, hogy a gyártóknak komolyabban kell venniük az eszközök biztonsági javításait és a többtényezős hitelesítést (MFA). A Cisco már közzétette a szükséges frissítéseket, és arra kéri az ASA felhasználóit, hogy mielőbb telepítsék azokat. Arról, hogy hány ügyfelet érinthettek a támadások, egyelőre nem közölt információkat a cég.