Tin tặc đã backdoor các thiết bị Cisco ASA qua hai lỗ hổng zero-day

"Một hacker được nhà nước bảo trợ đã tìm cách xâm phạm Thiết bị bảo mật thích ứng (ASA) của Cisco được sử dụng trên các mạng của chính phủ trên toàn cầu và sử dụng hai lỗ hổng zero-day (CVE-2024-20353, CVE-2024-20359) để cài đặt các cửa hậu trên chúng, Các nhà nghiên cứu của Cisco Talos đã chia sẻ vào thứ Tư.

CVE-2024-20353 CVE-2024-20359

Các nhà nghiên cứu cho biết thêm, hoạt động đầu tiên được xác nhận bởi một khách hàng của Cisco là vào đầu tháng 1 năm 2024 nhưng các cuộc tấn công thực tế bắt đầu vào tháng 11 năm 2023. Hơn nữa, chúng tôi đã xác định được bằng chứng cho thấy khả năng này đã được thử nghiệm và phát triển sớm nhất là vào tháng 7 năm 2023.

Phần mềm độc hại tùy chỉnh

Vector truy cập ban đầu trong chiến dịch này - được đặt tên là ArcaneDoor - vẫn chưa được biết.

Tác nhân đe dọa mà Cisco Talos theo dõi là UAT4356 và Microsoft là STORM-1849, đã sử dụng phần mềm độc hại tùy chỉnh:

Line Dancer, một trình thông dịch shellcode chỉ tồn tại trong bộ nhớ, để tải lên và thực thi các tải trọng shellcode tùy ý

Trên một ASA bị xâm nhập, kẻ tấn công gửi shellcode thông qua trường phản hồi quét máy chủ, sau đó được phân tích cú pháp bằng bộ cấy Line Dancer. Các nhà nghiên cứu giải thích: Trường trả lời quét máy chủ, thường được sử dụng trong các phần sau của quy trình thiết lập phiên SSL VPN, được xử lý bởi các thiết bị ASA được định cấu hình cho SSL VPN, IPsec IKEv2 VPN với quyền truy cập quản lý ‘dịch vụ khách hàng' hoặc HTTPS.

Tác nhân ghi đè con trỏ tới mã trả lời quét máy chủ mặc định để thay vào đó trỏ đến trình thông dịch shellcode Line Dancer. Điều này cho phép tác nhân sử dụng các yêu cầu POST để tương tác với thiết bị mà không cần phải xác thực và tương tác trực tiếp thông qua bất kỳ giao diện quản lý truyền thống nào.

Line Dancer đã được sử dụng để vô hiệu hóa nhật ký hệ thống (giao thức ghi nhật ký), lọc cấu hình hiển thị lệnh và chụp gói, thực thi các lệnh CLI, buộc thiết bị bỏ qua việc tạo kết xuất sự cố khi gặp sự cố (để cản trở phân tích pháp lý) và tạo các cách để luôn có thể kết nối từ xa với thiết bị.

Line Runner khai thác chức năng liên quan đến khả năng ASA kế thừa để tìm một tệp LUA cụ thể, giải nén, thực thi và xóa nó. Các tập lệnh chứa trong đó cho phép kẻ đe dọa duy trì một cửa hậu Lua dựa trên HTTP trên thiết bị và sẽ tồn tại bất chấp việc khởi động lại và nâng cấp.

Vá lỗi, điều tra, phản hồi

Cisco đã phát hành các bản vá cho CVE-2024-20353 và CVE-2024-20359, cung cấp các chỉ báo về sự xâm phạm, chữ ký Snort và đã phác thảo một số phương pháp để định vị cửa hậu Line Runner trên các thiết bị ASA.

Các tổ chức sử dụng Cisco ASA nên triển khai các bản vá càng sớm càng tốt vì không có giải pháp nào có thể giải quyết được hai lỗ hổng này.

Cisco khuyến cáo: Khách hàng cũng được khuyến khích giám sát nhật ký hệ thống để phát hiện các dấu hiệu thay đổi cấu hình không có giấy tờ, khởi động lại đột xuất và bất kỳ hoạt động xác thực bất thường nào.

Cisco cũng đã phát hành các bản vá cho lỗ hổng thứ ba (CVE-2024-20358) ảnh hưởng đến Cisco ASA mà những kẻ tấn công này không khai thác được.

Các cuộc tấn công có chủ đích

Các nhà nghiên cứu của Cisco đã nỗ lực phân tích các cuộc tấn công này với sự trợ giúp của một số công ty (Microsoft, Lumen Technologies) và các cơ quan an ninh mạng của chính phủ từ Hoa Kỳ, Canada, Úc và Vương quốc Anh.

Các nhà nghiên cứu lưu ý: Tác nhân này đã sử dụng công cụ riêng biệt để thể hiện sự tập trung rõ ràng vào hoạt động gián điệp và kiến ​​thức chuyên sâu về các thiết bị mà chúng nhắm mục tiêu, dấu hiệu của một tác nhân tinh vi được nhà nước bảo trợ.

Các biện pháp chống pháp y tinh vi được áp dụng, việc sử dụng zero-day và việc tập trung vào các mục tiêu cụ thể chỉ củng cố thêm kết luận đó.

ArcaneDoor là chiến dịch mới nhất trong một loạt chiến dịch nhằm xâm phạm các thiết bị mạng cạnh như VPN và tường lửa, hầu hết trong số đó được cho là do các tin tặc được nhà nước Trung Quốc bảo trợ.

Hơn nữa, dữ liệu đo từ xa mạng và thông tin từ các đối tác tình báo cho thấy tác nhân quan tâm - và có khả năng tấn công - các thiết bị mạng từ Microsoft và các nhà cung cấp khác. Bất kể nhà cung cấp thiết bị mạng của bạn là gì, giờ là lúc đảm bảo rằng các thiết bị được vá đúng cách, đăng nhập vào vị trí trung tâm, an toàn và được định cấu hình để có xác thực đa yếu tố (MFA) mạnh mẽ, Cisco Talos cảnh báo.

Việc giành được chỗ đứng trên các thiết bị này cho phép tác nhân trực tiếp tham gia vào một tổ chức, định tuyến lại hoặc sửa đổi lưu lượng truy cập và giám sát thông tin liên lạc trên mạng.

CẬP NHẬT (ngày 25 tháng 4 năm 2024, 06:10 sáng giờ ET):

Báo cáo Khiếu nại Mạng của Liên minh 2024 được phát hành gần đây cho biết các doanh nghiệp có thiết bị Cisco ASA tiếp xúc với internet có khả năng gặp phải yêu cầu bồi thường bảo hiểm mạng cao hơn gần gấp 5 lần vào năm 2023."

TÁC GIẢ

Về ABN Asia: AiUTOMATING PEOPLE, ABN Asia được thành lập từ năm 2012, là một công ty xuất phát từ học thuật, do những giảng viên, cựu du học sinh Hungary, Hà Lan, Nga, Đức, và Nhật Bản sáng lập. Chúng tôi chia sẻ đam mê chung và tầm nhìn vững chắc về công nghệ, mang đến sự đổi mới và chất lượng đỉnh cao cho khách hàng. Phương châm của chúng tôi là: Tốt hơn. Nhanh hơn. An toàn hơn. Trong nhiều trường hợp: Rẻ hơn.

Hãy liên hệ với chúng tôi khi Quý doanh nghiệp có các nhu cầu về dịch vụ công nghệ thông tin, tư vấn chuyển đổi số, tìm kiếm các giải pháp phần mềm phù hợp, hoặc nếu Quý doanh nghiệp có đấu thầu CNTT (RFP) để chúng tôi tham dự. Quý doanh nghiệp có thể liên hệ với chúng tôi qua địa chỉ email [email protected]. Chúng tôi sẵn lòng hỗ trợ với mọi nhu cầu công nghệ của Quý doanh nghiệp.

© ABN ASIA