Aktívne zneužívané zero-day zraniteľnosti Cisco

Spoločnosť Cisco poukázala na rozsiahlu kampaň pomenovanú ArcaneDoor, v ktorej útočníci zneužívajú dvoch zero-day zraniteľností CVE-2024-20353 a CVE-2024-20359. Úspešné zneužitie umožňuje útočníkom šíriť malvér a zbierať citlivé informácie v cieľovom prostredí. Cisco varovala, že sa jedná o aktívne zneužívané zraniteľnosti na firewalloch Cisco ASA a FTD hackerskou skupinou UAT4356 (alias Storm-1849). Spoločnosť zároveň opravila zraniteľnosť CVE-2024-20358, umožňujúcu injektovanie príkazov v spomínaných zariadeniach.

Zraniteľné systémy:

  • Cisco Secure Firewall ASA
  • Cisco Secure Firewall Threat Defense

Opis činnosti:

Hackerská skupina UAT4356 známa pod menom Storm-1849 aktívne zneužíva zero-day zraniteľnosti firewallov/IPS CISCO ASA a FTD v rámci kampane ArcandeDoor. Skupine UAT4356 sa podarilo nasadiť dva backdoory, „Line Runner“ a „Line Dancer“, ktoré použila na infiltráciu do zariadení a sieťovej prevádzky a vykonanie škodlivého kódu.

CVE-2024-20353 (CVSS skóre 8,6)

Zero-day zraniteľnosť CVE-2024-20353 v správe webových serverov a VPN umožňuje neautentifikovanému vzdialenému útočníkovi spôsobiť opätovné načítanie zariadenia, čo môže viesť k odmietnutiu služby (DoS). Úspešné zneužitie si vyžaduje aby útočník odoslal špeciálne vytvorenú http požiadavku na webový server zariadenia.

CVE-2024-20358 a CVE-2024-20359 (CVSS skóre 6,0)

Zraniteľnosti CVE-2024-20358 a CVE-2024-20359 funkcie prednahrania klientov VPN a modulov, umožňujú autentifikovanému lokálnemu útočníkovi vykonať ľubovoľný kód (CVE-2024-20359), resp. ľubovoľné príkazy (CVE-2024-20358) s oprávneniami používateľa root. Chyba CVE-2024-20358 sa týka nesprávnej sanitizácie záložného súboru v čase jeho obnovy a CVE-2024-20359 sa týka nesprávnej validácie súborov pri čítaní z pamäte. Obe zraniteľnosti si vyžadujú administrátorské oprávnenia. Útočník môže zneužiť zraniteľnosti obnovením špeciálne upraveného záložného súboru a skopírovaním vytvoreného súboru do súborového systému disk0.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Odmietnutie služby (DoS)
  • Ľubovoľné vykonávanie kódu
  • Únik informácií

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu softvéru .

Pre overenie integrity svojich zariadení Cisco ASA alebo FTD môžu zákazníci postupovať podľa návodu.

Odkazy:

https://thehackernews.com/2024/04/state-sponsored-hackers-exploit-two.html

https://www.securityweek.com/cisco-raises-alarm-for-arcanedoor-zero-days-hitting-asa-firewall-platforms/

https://www.wired.com/story/arcanedoor-cyberspies-hacked-cisco-firewalls-to-access-government-networks/

https://nvd.nist.gov/vuln/detail/CVE-2024-20353

https://nvd.nist.gov/vuln/detail/CVE-2024-20359

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response