Les pirates ont détourné les appareils Cisco ASA via deux jours zéro

"Un acteur malveillant parrainé par un État a réussi à compromettre les appliances de sécurité adaptables Cisco (ASA) utilisées sur les réseaux gouvernementaux à travers le monde et à utiliser deux vulnérabilités zero-day (CVE-2024-20353, CVE-2024-20359) pour y installer des portes dérobées, Les chercheurs de Cisco Talos l'ont partagé mercredi.

CVE-2024-20353 CVE-2024-20359

La première activité confirmée observée par un client Cisco remonte à début janvier 2024, mais les attaques réelles ont commencé en novembre 2023. « De plus, nous avons identifié des preuves suggérant que cette fonctionnalité a été testée et développée dès juillet 2023 », ont ajouté les chercheurs.

Le malware personnalisé

Le vecteur d'accès initial de cette campagne - baptisé ArcaneDoor - est encore inconnu.

L'acteur malveillant, que Cisco Talos suit sous le nom d'UAT4356 et Microsoft sous le nom de STORM-1849, a utilisé des logiciels malveillants personnalisés :

Line Dancer, un interpréteur de shellcode qui réside uniquement en mémoire, pour télécharger et exécuter des charges utiles de shellcode arbitraires

« Sur un ASA compromis, les attaquants soumettent le shellcode via le champ de réponse de l'analyse de l'hôte, qui est ensuite analysé par l'implant Line Dancer. Le champ de réponse d'analyse de l'hôte, généralement utilisé dans les parties ultérieures du processus d'établissement de session VPN SSL, est traité par des appareils ASA configurés pour VPN SSL, VPN IPsec IKEv2 avec « services clients » ou accès à la gestion HTTPS », ont expliqué les chercheurs.

« L'acteur remplace le pointeur vers le code de réponse d'analyse de l'hôte par défaut pour pointer vers l'interpréteur de shellcode Line Dancer. Cela permet à l'acteur d'utiliser les requêtes POST pour interagir avec l'appareil sans avoir à s'authentifier et à interagir directement via des interfaces de gestion traditionnelles.

Line Dancer a été utilisé pour désactiver syslog (le protocole de journalisation), exfiltrer la commande show configuration et les captures de paquets, exécuter des commandes CLI, forcer le périphérique à ignorer la création d'un vidage sur incident en cas de panne (pour contrecarrer l'analyse médico-légale) et créer des moyens de toujours pouvoir se connecter à distance à l'appareil.

Line Runner exploite les fonctionnalités liées à une fonctionnalité ASA héritée pour rechercher un fichier LUA spécifique, le décompresser, l'exécuter et le supprimer. Les scripts qu'il contient permettaient à l'acteur malveillant de maintenir une porte dérobée Lua basée sur HTTP sur l'appareil qui persisterait malgré les redémarrages et les mises à niveau.

Corrigez, enquêtez, répondez

Cisco a publié des correctifs pour CVE-2024-20353 et CVE-2024-20359, a fourni des indicateurs de compromission, des signatures Snort et a décrit plusieurs méthodes pour localiser la porte dérobée Line Runner sur les appareils ASA.

Il est conseillé aux organisations utilisant Cisco ASA de mettre en œuvre les correctifs dès que possible car il n'existe aucune solution de contournement permettant de résoudre les deux vulnérabilités.

""Les clients sont également fortement encouragés à surveiller les journaux système pour détecter les indicateurs de modifications de configuration non documentées, de redémarrages imprévus et de toute activité d'identification anormale"", a conseillé Cisco.

Cisco a également publié des correctifs pour une troisième vulnérabilité (CVE-2024-20358) affectant les Cisco ASA, qui n'est pas exploitée par ces attaquants.

Attaques ciblées

Les chercheurs de Cisco ont travaillé à l'analyse de ces attaques avec l'aide de plusieurs sociétés (Microsoft, Lumen Technologies) et d'agences gouvernementales de cybersécurité des États-Unis, du Canada, d'Australie et du Royaume-Uni.

""Cet acteur a utilisé des outils sur mesure qui démontraient une concentration claire sur l'espionnage et une connaissance approfondie des appareils qu'ils ciblaient, caractéristiques d'un acteur sophistiqué parrainé par l'État"", ont noté les chercheurs.

Les mesures anti-criminalistiques sophistiquées utilisées, le recours au jour zéro et l'accent mis sur des cibles spécifiques n'ont fait que renforcer cette conclusion.

ArcaneDoor est la dernière d'une série de campagnes visant à compromettre les appareils réseau « de pointe » tels que les VPN et les pare-feu, dont la plupart ont été attribuées à des pirates informatiques parrainés par l'État chinois.

« De plus, la télémétrie du réseau et les informations provenant des partenaires de renseignement indiquent que l'acteur est intéressé - et potentiellement attaquant - les périphériques réseau de Microsoft et d'autres fournisseurs. Quel que soit votre fournisseur d'équipement réseau, il est maintenant temps de vous assurer que les appareils sont correctement corrigés, connectés à un emplacement central et sécurisé et configurés pour disposer d'une authentification multifacteur (MFA) forte », a averti Cisco Talos.

""Prendre pied sur ces appareils permet à un acteur de s'intégrer directement dans une organisation, de rediriger ou de modifier le trafic et de surveiller les communications réseau.""

MISE À JOUR (25 avril 2024, 06 h 10 HE) :

Le rapport de la Coalition 2024 sur les cyber-réclamations récemment publié indique que les entreprises disposant d'appareils Cisco ASA exposés à Internet étaient près de cinq fois plus susceptibles de faire l'objet d'une réclamation de cyber-assurance en 2023."

Veuillez noter que la version française est assistée par Ai, des erreurs mineures peuvent donc exister.

Auteur

AiUTOMATING PEOPLE, ABN ASIA a été fondée par des personnes ayant des racines profondes dans le milieu académique, avec une expérience professionnelle aux États-Unis, aux Pays-Bas, en Hongrie, au Japon, en Corée du Sud, à Singapour et au Vietnam. ABN ASIA est l'endroit où l'académie et la technologie rencontrent l'opportunité. Avec nos solutions de pointe et nos services de développement logiciel compétents, nous aidons les entreprises à se développer et à s'imposer sur la scène mondiale. Notre engagement : Plus vite. Mieux. Plus fiable. Dans la plupart des cas : moins cher également.

N'hésitez pas à nous contacter chaque fois que vous avez besoin de services informatiques, de conseils en matière de numérique, de solutions logicielles prêtes à l'emploi, ou si vous souhaitez nous envoyer des demandes de propositions (RFP). Vous pouvez nous contacter à l'adresse [email protected]. Nous sommes prêts à vous aider avec tous vos besoins technologiques.

© ABN ASIA