Peretas melakukan backdoor pada perangkat Cisco ASA melalui dua zero-day

"Aktor ancaman yang disponsori negara telah berhasil menyusupi Cisco Adaptive Security Appliances (ASA) yang digunakan pada jaringan pemerintah di seluruh dunia dan menggunakan dua kerentanan zero-day (CVE-2024-20353, CVE-2024-20359) untuk memasang pintu belakang pada jaringan tersebut, Peneliti Cisco Talos telah berbagi pada hari Rabu.

CVE-2024-20353 CVE-2024-20359

Aktivitas terkonfirmasi pertama yang diamati oleh pelanggan Cisco terjadi pada awal Januari 2024, namun serangan sebenarnya dimulai pada November 2023. Selanjutnya, kami telah mengidentifikasi bukti yang menunjukkan kemampuan ini sedang diuji dan dikembangkan pada awal Juli 2023, tambah para peneliti.

Malware khusus

Vektor akses awal dalam kampanye ini - dijuluki ArcaneDoor - masih belum diketahui.

Pelaku ancaman, yang dilacak Cisco Talos sebagai UAT4356 dan Microsoft sebagai STORM-1849, menggunakan malware khusus:

Line Dancer, penerjemah kode shell yang hanya berada di memori, untuk mengunggah dan mengeksekusi muatan kode shell sewenang-wenang

Pada ASA yang disusupi, penyerang mengirimkan shellcode melalui bidang host-scan-reply, yang kemudian diurai oleh implan Line Dancer. Bidang host-scan-reply, biasanya digunakan di bagian selanjutnya dari proses pembuatan sesi SSL VPN, diproses oleh perangkat ASA yang dikonfigurasi untuk SSL VPN, IPsec IKEv2 VPN dengan 'layanan klien' atau akses manajemen HTTPS, jelas para peneliti.

Aktor mengesampingkan penunjuk ke kode balasan pemindaian host default untuk menunjuk ke penerjemah kode shell Line Dancer. Hal ini memungkinkan aktor untuk menggunakan permintaan POST untuk berinteraksi dengan perangkat tanpa harus mengautentikasi dan berinteraksi secara langsung melalui antarmuka manajemen tradisional apa pun.

Line Dancer telah digunakan untuk menonaktifkan syslog (protokol logging), mengeksfiltrasi perintah tampilkan konfigurasi dan pengambilan paket, menjalankan perintah CLI, memaksa perangkat untuk melewati pembuatan crash dump ketika crash (untuk menghalangi analisis forensik), dan menciptakan cara untuk selalu dapat terhubung dari jarak jauh ke perangkat.

Line Runner mengeksploitasi fungsionalitas yang terkait dengan kemampuan ASA lama untuk menemukan file LUA tertentu, mengekstraknya, menjalankannya, dan menghapusnya. Skrip yang terkandung di dalamnya memungkinkan pelaku ancaman untuk mempertahankan pintu belakang Lua berbasis HTTP pada perangkat yang akan tetap ada meskipun dilakukan boot ulang dan peningkatan.

Tambal, selidiki, tanggapi

Cisco telah merilis patch untuk CVE-2024-20353 dan CVE-2024-20359, memberikan indikator kompromi, tanda tangan Snort, dan telah menguraikan beberapa metode untuk menemukan pintu belakang Line Runner pada perangkat ASA.

Organisasi yang menggunakan Cisco ASA disarankan untuk menerapkan patch sesegera mungkin karena tidak ada solusi yang dapat mengatasi kedua kerentanan tersebut.

Pelanggan juga sangat dianjurkan untuk memantau log sistem untuk mengetahui indikator perubahan konfigurasi yang tidak terdokumentasi, reboot yang tidak terjadwal, dan aktivitas kredensial yang tidak wajar, saran Cisco.

Cisco juga telah merilis patch untuk kerentanan ketiga (CVE-2024-20358) yang memengaruhi Cisco ASA, yang tidak dieksploitasi oleh para penyerang ini.

Serangan yang ditargetkan

Peneliti Cisco bekerja menganalisis serangan ini dengan bantuan beberapa perusahaan (Microsoft, Lumen Technologies) dan lembaga keamanan siber pemerintah dari AS, Kanada, Australia, dan Inggris.

Aktor ini menggunakan peralatan yang dipesan khusus yang menunjukkan fokus yang jelas pada spionase dan pengetahuan mendalam tentang perangkat yang mereka targetkan, yang merupakan ciri khas aktor canggih yang disponsori negara, kata para peneliti.

Tindakan anti-forensik canggih yang diterapkan, penggunaan zero-day, dan fokus pada target spesifik semakin memperkuat kesimpulan tersebut.

ArcaneDoor adalah yang terbaru dari serangkaian kampanye yang bertujuan untuk menyusupi perangkat jaringan edge seperti VPN dan firewall, yang sebagian besar dikaitkan dengan peretas yang disponsori negara Tiongkok.

Lebih lanjut, telemetri jaringan dan informasi dari mitra intelijen menunjukkan bahwa pelaku tertarik - dan berpotensi menyerang - perangkat jaringan dari Microsoft dan vendor lainnya. Terlepas dari penyedia peralatan jaringan Anda, sekarang adalah waktu untuk memastikan bahwa perangkat telah di-patch dengan benar, masuk ke lokasi pusat yang aman, dan dikonfigurasi untuk memiliki otentikasi multi-faktor (MFA) yang kuat, Cisco Talos memperingatkan.

Mendapatkan pijakan pada perangkat ini memungkinkan aktor untuk secara langsung beralih ke suatu organisasi, mengubah rute atau mengubah lalu lintas, dan memantau komunikasi jaringan.

PEMBARUAN (25 April 2024, 06:10 ET):

Laporan Klaim Siber Koalisi 2024 yang baru-baru ini dirilis menyatakan bahwa bisnis dengan perangkat Cisco ASA yang terekspos internet hampir lima kali lebih mungkin mengalami klaim asuransi siber pada tahun 2023."

Harap dicatat bahwa versi bahasa Prancis dari AI didukung dan karena itu mungkin terjadi kesalahan kecil.

Penulis

Ai Base Network (ABN), ABN ASIA didirikan oleh orang-orang dengan akar yang kuat di dunia akademis, dengan pengalaman kerja di Amerika Serikat, Belanda, Hungaria, Jepang, Korea Selatan, Singapura, dan Vietnam. ABN Asia adalah tempat di mana akademik dan teknologi bertemu dengan peluang. Dengan solusi terdepan kami dan layanan pengembangan perangkat lunak yang kompeten, kami membantu bisnis untuk meningkatkan level dan bersaing di panggung global. Komitmen kami: Lebih Cepat. Lebih Baik. Lebih handal. Dalam kebanyakan kasus: Lebih murah juga.

Jangan ragu untuk menghubungi kami jika Anda membutuhkan layanan IT, konsultasi digital, solusi perangkat lunak siap pakai, atau jika Anda ingin mengirimkan permintaan proposal (RFP). Anda dapat menghubungi kami di [email protected]. Kami siap membantu Anda dengan semua kebutuhan teknologi Anda.

© ABN ASIA