Государственные субъекты использовали две уязвимости в брандмауэрах ASA и FTD для взлома правительственных сетей - Security Affairs
Государственный актёр UAT4356 злоупотреблял двумя zero-day уязвимостями в ASA и FTD брандмауэрах с ноября 2023 года для взлома правительственных сетей. Компания Cisco Talos предупредила, что государственный актёр UAT4356 (также известный как STORM-1849) использовал две zero-day уязвимости в Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) брандмауэрах с ноября 2023 года для взлома правительственных сетей по всему миру. Исследователи Cisco Talos отследили эту кибершпионскую кампанию под названием ArcaneDoor.
Расследование и обнаружение
В начале 2024 года клиент обратился в компанию Cisco, чтобы сообщить о подозрительных действиях, связанных с её устройствами Cisco Adaptive Security Appliances (ASA). PSIRT и Talos начали расследование для поддержки клиента. Эксперты обнаружили, что группа UAT4356 установила два бекдора, названные соответственно "Line Runner" и "Line Dancer". Компания Cisco сообщила, что сложная цепочка атак, используемая злоумышленниками, затронула небольшой круг клиентов.
Описание zero-day атак
Эксперты пока не определили начальный вектор атаки, однако выяснили, что злоумышленники использовали две уязвимости (CVE-2024-20353 (отказ в обслуживании) и CVE-2024-20359 (постоянное выполнение локального кода)) как zero-day уязвимости в этих атаках. Line Dancer - это имплант в памяти, действующий как интерпретатор шелл-кода, который позволяет противникам выполнять произвольные нагрузки шелл-кода в памяти.
Действия злоумышленников
На скомпрометированных устройствах ASA злоумышленники используют поле host-scan-reply для доставки шелл-кода, обходя необходимость в эксплуатации CVE-2018-0101. Перенаправляя указатель на интерпретатор Line Dancer, злоумышленники могут взаимодействовать с устройством через POST-запросы без аутентификации.
Постоянство и контроль
Line Runner позволяет злоумышленникам сохранить постоянство на скомпрометированных устройствах ASA. Он использует старую способность, связанную с предварительной загрузкой VPN-клиента, запускающуюся при загрузке при поиске конкретного шаблона файла на диске0:. При обнаружении он распаковывает и выполняет сценарий Lua, обеспечивая постоянный доступ к бекдору на основе HTTP. Этот бекдор выживает после перезагрузок и обновлений, что позволяет угрозам сохранять контроль.
Предупреждение от компании Cisco
"ArcaneDoor - это кампания, являющаяся последним примером государственно-спонсируемых актёров, нацеленных на периметральные сетевые устройства от нескольких производителей. Эти устройства периметра очень желанны для таких актёров идеальной точкой втиснуться в сеть для целей шпионажных кампаний. На них нужно устанавливать регулярно и своевременно патчи; использовать современное оборудование и программное обеспечение и быть тщательно мониторить с точки зрения безопасности." - гласит предупреждение, опубликованное компанией Cisco, которое также включает индикаторы компрометации (IOCs). "Получив возможность действовать на этих устройствах, злоумышленник может прямо заявить о себе в организации, перенаправить или изменить трафик и контролировать сетевые коммуникации."
Pierluigi Paganini Follow me on Twitter: @securityaffairs and Facebook and Mastodon (SecurityAffairs - взлом, ASA). Make me an answer in this format: ' {text}'
Тeги
Комментарий
Популярные статьи
Популярные предложения
Подпишитесь на новостную рассылку от Hatamatata.ru!
Подпишитесь на новостную рассылку от Hatamatata.ru!
Я соглашаюсь с правилами обработки персональных данных и конфиденциальности Hatamatata