Зарубежная недвижимость
Блог
Государственные субъекты использовали две уязвимости в брандмауэрах ASA и FTD для взлома правительственных сетей - Security Affairs

Государственные субъекты использовали две уязвимости в брандмауэрах ASA и FTD для взлома правительственных сетей - Security Affairs

Государственные субъекты использовали две уязвимости в брандмауэрах ASA и FTD для взлома правительственных сетей - Security Affairs

Государственный актёр UAT4356 злоупотреблял двумя zero-day уязвимостями в ASA и FTD брандмауэрах с ноября 2023 года для взлома правительственных сетей. Компания Cisco Talos предупредила, что государственный актёр UAT4356 (также известный как STORM-1849) использовал две zero-day уязвимости в Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) брандмауэрах с ноября 2023 года для взлома правительственных сетей по всему миру. Исследователи Cisco Talos отследили эту кибершпионскую кампанию под названием ArcaneDoor.

Расследование и обнаружение

В начале 2024 года клиент обратился в компанию Cisco, чтобы сообщить о подозрительных действиях, связанных с её устройствами Cisco Adaptive Security Appliances (ASA). PSIRT и Talos начали расследование для поддержки клиента. Эксперты обнаружили, что группа UAT4356 установила два бекдора, названные соответственно "Line Runner" и "Line Dancer". Компания Cisco сообщила, что сложная цепочка атак, используемая злоумышленниками, затронула небольшой круг клиентов.

Описание zero-day атак

Эксперты пока не определили начальный вектор атаки, однако выяснили, что злоумышленники использовали две уязвимости (CVE-2024-20353 (отказ в обслуживании) и CVE-2024-20359 (постоянное выполнение локального кода)) как zero-day уязвимости в этих атаках. Line Dancer - это имплант в памяти, действующий как интерпретатор шелл-кода, который позволяет противникам выполнять произвольные нагрузки шелл-кода в памяти.

Действия злоумышленников

На скомпрометированных устройствах ASA злоумышленники используют поле host-scan-reply для доставки шелл-кода, обходя необходимость в эксплуатации CVE-2018-0101. Перенаправляя указатель на интерпретатор Line Dancer, злоумышленники могут взаимодействовать с устройством через POST-запросы без аутентификации.

Рекомендуемая недвижимость
Купить квартиру в Италии 894427£

Продажа квартиры в Неаполе 1 161 833,00 $

2 спальни

2 санузла

179 м²

Купить квартиру в Италии 303393£

Продажа квартиры в Казерте 394 098,00 $

5 спален

2 санузла

150 м²

Купить другие объекты в Италии 1281000€

Продажа других объектов в Неаполе 1 386 649,00 $

4 спальни

4 санузла

254 м²

Купить квартиру в Италии 1400000€

Продажа квартиры в Неаполе 1 515 463,00 $

3 спальни

3 санузла

217 м²

Купить дом в Италии 5505400€

Продажа дома в Неаполе 5 959 453,00 $

5 спален

6 санузлов

794 м²

Купить дом в Италии 1648300€

Продажа дома в Неаполе 1 784 242,00 $

3 спальни

4 санузла

243 м²

Актеры угроз использовали Line Dancer для выполнения различных команд, включая отключение системы сбора системных сообщений, извлечение конфигурационных данных, создание захватов пакетов и выполнение CLI-команд.

Постоянство и контроль

Line Runner позволяет злоумышленникам сохранить постоянство на скомпрометированных устройствах ASA. Он использует старую способность, связанную с предварительной загрузкой VPN-клиента, запускающуюся при загрузке при поиске конкретного шаблона файла на диске0:. При обнаружении он распаковывает и выполняет сценарий Lua, обеспечивая постоянный доступ к бекдору на основе HTTP. Этот бекдор выживает после перезагрузок и обновлений, что позволяет угрозам сохранять контроль.

Предупреждение от компании Cisco

"ArcaneDoor - это кампания, являющаяся последним примером государственно-спонсируемых актёров, нацеленных на периметральные сетевые устройства от нескольких производителей. Эти устройства периметра очень желанны для таких актёров идеальной точкой втиснуться в сеть для целей шпионажных кампаний. На них нужно устанавливать регулярно и своевременно патчи; использовать современное оборудование и программное обеспечение и быть тщательно мониторить с точки зрения безопасности." - гласит предупреждение, опубликованное компанией Cisco, которое также включает индикаторы компрометации (IOCs). "Получив возможность действовать на этих устройствах, злоумышленник может прямо заявить о себе в организации, перенаправить или изменить трафик и контролировать сетевые коммуникации."

Pierluigi Paganini Follow me on Twitter: @securityaffairs and Facebook and Mastodon (SecurityAffairs - взлом, ASA). Make me an answer in this format: ' {text}'

Комментарий

Подпишитесь на новостную рассылку от Hatamatata.ru!

Я соглашаюсь с правилами обработки персональных данных и конфиденциальности Hatamatata