Cisco ASA и FTD устройствата под обсада – ArcaneDoor атака

Cisco и threat intelligence подразделението им (Talos) публикуваха информация относно 0day уязвимости в произвежданите от тях защитни стени от следващо поколение (NGFW) – ASA и FTD.

ArcaneDoor е кампания, която е най-новият пример за спонсорирани от държава хакерски операции, насочени към мрежови устройства за защита на периметъра. Този път жертви са клиентите на Cisco.

Припомняме скорошните подобни проблеми с PaloAlto и Fortinet.

Удобни цели

Периферните мрежови устройства са идеалната точка за проникване, когато става дума за кампании с цел шпионаж, защото са критичен път за данните и врата към частните мрежи на организациите. Този тип устройства трябва да бъдат рутинно и своевременно проверявани; да използват актуални хардуерни и софтуерни версии и конфигурации; и да бъдат внимателно наблюдавани от гледна точка на сигурността.

Придобиване на неоторизиран достъп в тези устройства позволява на атакуващият директно да проникне в организацията, да пренасочи или модифицира трафика и да наблюдава мрежовите комуникации. През последните две-три години наблюдаваме драматично и трайно увеличение на броя на атаките срещу NGFW, като засегнати са предимно доставчиците на телекомуникационни услуги и организациите от енергийния сектор – структури от критичната инфраструктура, които вероятно са стратегически цели от интерес за много чужди правителства.

Работейки с жертви и партньорски организации, Cisco разкрива сложна верига от атаки, която е използвана за имплантиране на персонализиран зловреден софтуер и изпълнение на команди. Въпреки че не успяват да идентифицират първоначалния вектор на пробива, установяват две критични уязвимости (CVE-2024-20353 и CVE-2024-20359).

Цели са и Microsoft Exchange сървъри

Освен това мрежовата телеметрия и информацията от партньорите в областта на threat intelligence показват, че хакерите зад тази кампания се интересуват и от Microsoft Exchange сървъри и мрежови устройства на други производители. Независимо от доставчика на мрежово оборудване, сега е моментът да се уверите, че устройствата са надлежно обновени, изпращат логове към SIEM и е конфигурирана многофакторна автентикация (MFA). Допълнителни препоръки, специфични за Cisco, вижте тук.

В рамките на продължаващото разследване е извършен и анализ на възможното приписване на тази дейност. Оценката се основава на виктимологията, значителното ниво на използваните умения по отношение на разработеният зловреден код и на способностите му да се “крие”, както и на идентифицирането и експлоатацията на 0day уязвимости. Поради тези причини с висока степен на увереност, се твърди, че тези действия са извършени от спонсорирана от държава хакерска група (state sponsored threat actor).

По-рано този месец Cisco предупреди за мащабни brute-force атаки , насочени към VPN и SSH услуги на устройства на Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по целия свят. През март също така споделиха насоки и добри практики за предотвратяване на атаките свързани с компрометирани акаунти (password-spraying), насочени към VPN услуги за отдалечен достъп (RAVPN), конфигурирани на устройства Cisco Secure Firewall.

Как да действате

Препоръките за противодействие на текущата кампания и ArcaneDoor атака са:

Друга полезна информация и съвети относно ArcaneDoor атаката:
https://www.cyber.gc.ca/en/news-events/cyber-activity-impacting-cisco-asa-vpns 

https://cert.europa.eu/publications/security-advisories/2024-043/ 

Опасността е активна от поне 2-3 месеца и според уважаваният cybersecurity експерт Kevin Beaumont (aka GossiTheDog), Cisco не са действали по възможно най-добрият начин спрямо своите клиенти:

Exit mobile version