🔴 ArcaneDoor – nowa, tajemnicza kampania hackerska przejmująca kluczowe urządzenia Cisco ASA / Cisco Firepower Threat Defense.

Zaczęło się od zgłoszenia przejętego urządzenia – na początku 2024 roku. Niedługo później udało się namierzyć kolejne ofiary – wszystkie będące sieciami rządowymi na całym świecie

Na obecnym etapie Cisco nie do końca wie jaki jest/był sposób wejścia do sieci przez atakujących… Próby odtworzenia całej ścieżki ataku trwają. W trakcie analizy wykryto oraz złatano dwie podatności CVE-2024-20353 (DoS – więc bez paniki; jednak jest tutaj dość innowacyjne wykorzystanie tego tematu – o tym za chwilkę), CVE-2024-20359 – enigmatycznie nazwane „Persistent Local Code Execution Vulnerability”

CVE-2024-20359: można umieścić na urządzeniu pewien odpowiednio nazwany plik zip. Podczas restartu urządzenia zip jest rozpakowywany, po czym uruchamiany jest z niego skrypt. Całość z wysokimi uprawnieniami. To daje atakującym możliwość trwałego zbackoorowania sprzętu. Jak wymusić restart? Wystarczy wykorzystać wcześniej wskazaną podatność DoS (nie wymaga ona uwierzytelnienia). Dla ciekawskich – exploit wysyła odpowiednio spreparowany nagłówek HTTP, co powoduje crash i restart systemu.

Ale jak podrzucić tego zipa? (wymaga to wysokich uprawnień na urządzeniu). Tego obecnie nie wiadomo…

W analizie przedstawionej przez Talos dużo uwagi poświęca się backdoorowi, który atakujący uruchamiają na urządzeniu. Line Dancer (In-Memory Implant) daje atakującym możliwość komunikowania się nieuwierzytelnionymi żądaniami HTTP POST. Nie trzeba dodawać, że daje on pełną kontrolę nad urządzeniem.

Cisco/Talos rekomenduje:

✅ Pełne załatanie urządzeń ASA / FTD
✅ Skonfigurowanie centralnego miejsca logowania, gdzie będą wysyłane logi z urządzeń
✅ Skonfigurowanie wieloczynnikowego uwierzytelnienia

~Michał Sajdak