Introductie
Cisco Talos deze week bevestigde dat perimeternetwerkapparaten van klanten het doelwit zijn van een spionagegerichte aanval.
‘ArcaneDoor’ is de naam die bedreigingsacteur UAT4356/STORM-1849 aan de campagne heeft gegeven. Deze campagne is gericht op de Cisco ASA-firewall die is getroffen door de volgende kwetsbaarheden:
CVE- 2024-20353 – Cisco ASA en Firepower Threat Defense (FTD) Software Web Services Denial of Service-kwetsbaarheid. CVSSv3: 8.6
Dit beveiligingslek is te wijten aan onvolledige foutcontrole bij het parseren van een HTTP-header. Een aanvaller kan misbruik maken van dit beveiligingslek door een vervaardigd HTTP-verzoek naar een gerichte webserver op een apparaat te sturen. Door een succesvolle exploit kan de aanvaller een DoS-conditie veroorzaken wanneer het apparaat opnieuw wordt geladen.
CVE- 2024-20359 – Cisco ASA- en FTD-softwareaanhoudend beveiligingslek met betrekking tot de uitvoering van lokale code. CVSSv3: 6.0
Dit beveiligingslek is te wijten aan onjuiste validatie van een bestand wanneer het wordt gelezen uit het flashgeheugen van het systeem. Een aanvaller kan misbruik maken van dit beveiligingslek door een vervaardigd bestand naar het disk0:-bestandssysteem van een getroffen apparaat te kopiëren. Een succesvolle exploit zou de aanvaller in staat kunnen stellen willekeurige code uit te voeren op het getroffen apparaat na de volgende herlaadbeurt van het apparaat, wat het systeemgedrag zou kunnen veranderen.
Er worden twee soorten malware geassocieerd met de ArcaneDoor-campagne:
- ‘Line Dancer’: malware in het geheugen voor het uitvoeren van opdrachten en het ontwijken van analisten
- ‘Line Runner’ – achterdeur voor het behouden van doorzettingsvermogen
De Cisco Talos blogpost bevat een forensische analyse van deze malware en methoden voor identificatie.
Aanbevelingen
Er zijn patches uitgebracht voor de bovenstaande kwetsbaarheden en deze moeten met voorrang worden geïnstalleerd. Er moeten ook acties worden ondernomen om ervoor te zorgen dat er geen artefacten achterblijven als gevolg van een inbreuk.
De Cisco Talos-blogpost vermeldt bekende IoC-IP’s gerelateerd aan de ArcaneDoor-campagne. Voeg deze indien mogelijk toe aan een firewallblokkeringslijst en/of een IDS/IPS-oplossing.