Hacker haben Cisco ASA-Geräte über zwei Zero-Days mit einer Hintertür versehen

"Einem staatlich geförderten Bedrohungsakteur ist es gelungen, Cisco Adaptive Security Appliances (ASA), die in Regierungsnetzwerken auf der ganzen Welt verwendet werden, zu kompromittieren und zwei Zero-Day-Schwachstellen (CVE-2024-20353, CVE-2024-20359) auszunutzen, um darauf Hintertüren zu installieren. Forscher von Cisco Talos teilten dies am Mittwoch mit.

CVE-2024-20353 CVE-2024-20359

Die erste bestätigte Aktivität, die von einem Cisco-Kunden beobachtet wurde, datiert auf Anfang Januar 2024, die eigentlichen Angriffe begannen jedoch im November 2023. „Darüber hinaus haben wir Beweise gefunden, die darauf hindeuten, dass diese Funktion bereits im Juli 2023 getestet und entwickelt wurde, fügten die Forscher hinzu.

Die benutzerdefinierte Malware

Der ursprüngliche Zugriffsvektor in dieser Kampagne - ArcaneDoor genannt - ist noch unbekannt.

Der Bedrohungsakteur, den Cisco Talos als UAT4356 und Microsoft als STORM-1849 verfolgt, verwendete benutzerdefinierte Malware:

Line Dancer, ein Shellcode-Interpreter, der sich nur im Speicher befindet, um beliebige Shellcode-Nutzlasten hochzuladen und auszuführen

„Auf einer kompromittierten ASA übermitteln die Angreifer Shellcode über das Host-Scan-Reply-Feld, der dann vom Line Dancer-Implantat analysiert wird. Das Host-Scan-Reply-Feld, das typischerweise in späteren Teilen des SSL-VPN-Sitzungsaufbauprozesses verwendet wird, wird von ASA-Geräten verarbeitet, die für SSL VPN, IPsec IKEv2 VPN mit ‚Client-Services‘ oder HTTPS-Verwaltungszugriff konfiguriert sind, erklärten die Forscher.

„Der Akteur überschreibt den Zeiger auf den standardmäßigen Host-Scan-Reply-Code und zeigt stattdessen auf den Line Dancer-Shellcode-Interpreter. Dadurch kann der Akteur POST-Anfragen verwenden, um mit dem Gerät zu interagieren, ohne sich authentifizieren und direkt über herkömmliche Verwaltungsschnittstellen interagieren zu müssen.

Line Dancer wurde verwendet, um Syslog (das Protokollierungsprotokoll) zu deaktivieren, die Befehlsanzeigekonfiguration und Paketerfassungen zu exfiltrieren, CLI-Befehle auszuführen, das Gerät zu zwingen, bei einem Absturz die Erstellung eines Crash-Dumps zu überspringen (um die forensische Analyse zu verhindern) und Möglichkeiten dafür zu schaffen immer in der Lage sein, eine Fernverbindung zum Gerät herzustellen.

Line Runner nutzt Funktionen im Zusammenhang mit einer älteren ASA-Funktion, um eine bestimmte LUA-Datei zu finden, sie zu entpacken, auszuführen und zu löschen. Die darin enthaltenen Skripte ermöglichten es dem Bedrohungsakteur, eine HTTP-basierte Lua-Hintertür auf dem Gerät zu verwalten, die trotz Neustarts und Upgrades bestehen bleibt.

Patchen, untersuchen, reagieren

Cisco hat Patches für CVE-2024-20353 und CVE-2024-20359 veröffentlicht, Kompromittierungsindikatoren und Snort-Signaturen bereitgestellt und mehrere Methoden zum Auffinden der Line Runner-Hintertür auf ASA-Geräten beschrieben.

Organisationen, die Cisco ASA verwenden, wird empfohlen, die Patches so schnell wie möglich zu implementieren, da es keine Problemumgehungen gibt, die die beiden Schwachstellen beheben können.

„Kunden wird außerdem dringend empfohlen, die Systemprotokolle auf Anzeichen für undokumentierte Konfigurationsänderungen, ungeplante Neustarts und ungewöhnliche Anmeldedatenaktivitäten zu überwachen, rät Cisco.

Cisco hat außerdem Patches für eine dritte Schwachstelle (CVE-2024-20358) veröffentlicht, die Cisco ASAs betrifft und von diesen Angreifern nicht ausgenutzt wird.

Gezielte Angriffe

Cisco-Forscher arbeiteten mit Hilfe mehrerer Unternehmen (Microsoft, Lumen Technologies) und staatlicher Cybersicherheitsbehörden aus den USA, Kanada, Australien und dem Vereinigten Königreich an der Analyse dieser Angriffe.

„Dieser Akteur nutzte maßgeschneiderte Werkzeuge, die einen klaren Fokus auf Spionage und ein umfassendes Wissen über die Geräte, auf die er abzielte, demonstrierten - Kennzeichen eines hochentwickelten, staatlich geförderten Akteurs, stellten die Forscher fest.

Die eingesetzten hochentwickelten Anti-Forensik-Maßnahmen, der Einsatz von Zero-Days und die Fokussierung auf spezifische Ziele untermauerten diese Schlussfolgerung nur.

ArcaneDoor ist die jüngste einer Reihe von Kampagnen, die darauf abzielen, „Edge-Netzwerkgeräte wie VPNs und Firewalls zu kompromittieren, von denen die meisten staatlich geförderten chinesischen Hackern zugeschrieben werden.

„Darüber hinaus deuten Netzwerktelemetriedaten und Informationen von Geheimdienstpartnern darauf hin, dass der Akteur an Netzwerkgeräten von Microsoft und anderen Anbietern interessiert ist und diese möglicherweise angreift. Unabhängig von Ihrem Netzwerkgeräteanbieter ist es jetzt an der Zeit, sicherzustellen, dass die Geräte ordnungsgemäß gepatcht sind, sich an einem zentralen, sicheren Ort anmelden und für eine starke Multi-Faktor-Authentifizierung (MFA) konfiguriert sind, warnte Cisco Talos.

„Wenn ein Akteur auf diesen Geräten Fuß fasst, kann er direkt in eine Organisation eindringen, den Datenverkehr umleiten oder ändern und die Netzwerkkommunikation überwachen.

UPDATE (25. April 2024, 06:10 Uhr ET):

Dem kürzlich veröffentlichten Coalition 2024 Cyber ​​Claims Report zufolge war die Wahrscheinlichkeit, dass Unternehmen mit internetgefährdeten Cisco ASA-Geräten im Jahr 2023 einen Cyber-Versicherungsanspruch erleiden, fast fünfmal höher."

Bitte beachten Sie, dass die französische Version von Ai unterstützt wird und daher geringfügige Fehler auftreten können.

AUTOR

Über ABN Asia: Ai Base Network (ABN), ABN Asia wurde im Jahr 2012 gegründet und ist ein Unternehmen mit akademischem Hintergrund, das von Lehrkräften und ehemaligen Studierenden aus Ungarn, den Niederlanden, Russland, Deutschland und Japan gegründet wurde. Wir teilen eine gemeinsame Leidenschaft und eine klare Vision für Technologie, die Innovation und erstklassige Qualität für unsere Kunden bringt. Unser Motto lautet: Besser. Schneller. Sicherer. In vielen Fällen: Günstiger.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie IT-Dienstleistungen, digitale Beratung, Standardsoftwarelösungen benötigen oder uns Angebotsanfragen (RFPs) senden möchten. Sie können uns unter [email protected] kontaktieren. Wir sind bereit, Ihnen bei all Ihren Technologiebedürfnissen zu helfen.

© ABN ASIA