Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
🔴 ArcaneDoor – nowa, tajemnicza kampania hackerska przejmująca kluczowe urządzenia Cisco ASA / Cisco Firepower Threat Defense.
Zaczęło się od zgłoszenia przejętego urządzenia – na początku 2024 roku. Niedługo później udało się namierzyć kolejne ofiary – wszystkie będące sieciami rządowymi na całym świecie
Na obecnym etapie Cisco nie do końca wie jaki jest/był sposób wejścia do sieci przez atakujących… Próby odtworzenia całej ścieżki ataku trwają. W trakcie analizy wykryto oraz złatano dwie podatności CVE-2024-20353 (DoS – więc bez paniki; jednak jest tutaj dość innowacyjne wykorzystanie tego tematu – o tym za chwilkę), CVE-2024-20359 – enigmatycznie nazwane „Persistent Local Code Execution Vulnerability”
CVE-2024-20359: można umieścić na urządzeniu pewien odpowiednio nazwany plik zip. Podczas restartu urządzenia zip jest rozpakowywany, po czym uruchamiany jest z niego skrypt. Całość z wysokimi uprawnieniami. To daje atakującym możliwość trwałego zbackoorowania sprzętu. Jak wymusić restart? Wystarczy wykorzystać wcześniej wskazaną podatność DoS (nie wymaga ona uwierzytelnienia). Dla ciekawskich – exploit wysyła odpowiednio spreparowany nagłówek HTTP, co powoduje crash i restart systemu.
Ale jak podrzucić tego zipa? (wymaga to wysokich uprawnień na urządzeniu). Tego obecnie nie wiadomo…
W analizie przedstawionej przez Talos dużo uwagi poświęca się backdoorowi, który atakujący uruchamiają na urządzeniu. Line Dancer (In-Memory Implant) daje atakującym możliwość komunikowania się nieuwierzytelnionymi żądaniami HTTP POST. Nie trzeba dodawać, że daje on pełną kontrolę nad urządzeniem.
Cisco/Talos rekomenduje:
✅ Pełne załatanie urządzeń ASA / FTD
✅ Skonfigurowanie centralnego miejsca logowania, gdzie będą wysyłane logi z urządzeń
✅ Skonfigurowanie wieloczynnikowego uwierzytelnienia
~Michał Sajdak