Компанія Cisco заявила, що потужна хакерська група використовує дві вразливості нульового дня у брандмауерах Adaptive Security Appliance (ASA) і Firepower Threat Defense (FTD), щоб зламати урядові мережі по всьому світу. Про це повідомляє BleepingComputer.
Зловмисники, ідентифіковані як UAT4356 від Cisco Talos і STORM-1849 від Microsoft, почали проникати на вразливі периферійні пристрої на початку листопада 2023 року в межах кампанії кібершпигунства, яка відстежується як ArcaneDoor.
Попри те, що Cisco ще не визначила початковий вектор атаки, вона виявила та виправила два недоліки безпеки: CVE-2024-20353 (відмова в обслуговуванні) і CVE-2024-20359 (постійне виконання локального коду), які зловмисники використовували у цих атаках як помилки нульового дня.
Cisco дізналася про кампанію ArcaneDoor на початку січня 2024 року і знайшла докази того, що хакери тестували та розробляли експлойти для боротьби із двома нульовими днями принаймні з липня минулого року.
Ці дві вразливості дали їм змогу розгорнути раніше невідоме зловмисне програмне забезпечення та підтримувати постійність на скомпрометованих пристроях ASA та FTD.
Одна з імплантованих зловмисних програм Line Dancer є завантажувачем шелл-коду в пам’яті, який допомагає доставляти та виконувати довільні корисні навантаження шелл-коду, щоб вимкнути журналювання, забезпечити віддалений доступ і вилучити захоплені пакети.
Другий імплантат, постійний бекдор під назвою Line Runner, має кілька механізмів захисту, щоб уникнути виявлення, і дозволяє зловмисникам запускати довільний код Lua на зламаних системах.
У спільній консультації, опублікованій Національним центром кібербезпеки Великобританії (NCSC), Канадським центром кібербезпеки (Cyber Centre) та Австралійським центром кібербезпеки Директорату сигналів Австралії, йдеться, що зловмисники використовували свій доступ, щоб:
- Створювати текстові версії файлу конфігурації пристрою, щоб його можна було викрасти через вебзапити.
- Контролювати увімкнення та вимкнення служби системного журналу пристроїв для маскування додаткових команд.
- Змінити конфігурацію автентифікації, авторизації та обліку (AAA), щоб певним керованим учасником пристроям, які відповідають певній ідентифікації, можна було надати доступ у зараженому середовищі.
Cisco закликає клієнтів до оновлення
Компанія випустила оновлення безпеки в середу, щоб виправити дві помилки нульового дня, і тепер наполегливо рекомендує всім клієнтам оновити свої пристрої до фіксованого програмного забезпечення, щоб блокувати будь-які вхідні атаки.
Адміністраторам Cisco також наполегливо рекомендується відстежувати системні журнали на наявність будь-яких ознак незапланованих перезавантажень, несанкціонованих змін конфігурації або використання підозрілих облікових даних.
«Незалежно від вашого постачальника мережевого обладнання зараз настав час переконатися, що пристрої належним чином виправлені, реєструються в центральному безпечному місці та налаштовані на надійну багатофакторну автентифікацію», – додали у компанії.
У цій пораді Cisco також надає інструкції щодо перевірки цілісності пристроїв ASA або FTD.
Раніше цього місяця Cisco попередила про масштабні атаки, націлені на служби VPN і SSH на пристроях Cisco, CheckPoint, Fortinet, SonicWall та Ubiquiti по всьому світу.
Також ми повідомляли, що у березні Cisco поділилася вказівками щодо пом’якшення атак із використанням пароля, націлених на служби Remote Access VPN (RAVPN), налаштовані на пристроях Cisco Secure Firewall.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
