ProIT: медіа для профі в IT
2 хв.

Хакери ArcaneDoor використовують помилки нульового дня Cisco для зламу урядових мереж

author avatar ProIT NEWS

Компанія Cisco заявила, що потужна хакерська група використовує дві вразливості нульового дня у брандмауерах Adaptive Security Appliance (ASA) і Firepower Threat Defense (FTD), щоб зламати урядові мережі по всьому світу. Про це повідомляє BleepingComputer.

Зловмисники, ідентифіковані як UAT4356 від Cisco Talos і STORM-1849 від Microsoft, почали проникати на вразливі периферійні пристрої на початку листопада 2023 року в межах кампанії кібершпигунства, яка відстежується як ArcaneDoor.

Попри те, що Cisco ще не визначила початковий вектор атаки, вона виявила та виправила два недоліки безпеки: CVE-2024-20353 (відмова в обслуговуванні) і CVE-2024-20359 (постійне виконання локального коду), які зловмисники використовували у цих атаках як помилки нульового дня.

Cisco дізналася про кампанію ArcaneDoor на початку січня 2024 року і знайшла докази того, що хакери тестували та розробляли експлойти для боротьби із двома нульовими днями принаймні з липня минулого року.

Ці дві вразливості дали їм змогу розгорнути раніше невідоме зловмисне програмне забезпечення та підтримувати постійність на скомпрометованих пристроях ASA та FTD.

Одна з імплантованих зловмисних програм Line Dancer є завантажувачем шелл-коду в пам’яті, який допомагає доставляти та виконувати довільні корисні навантаження шелл-коду, щоб вимкнути журналювання, забезпечити віддалений доступ і вилучити захоплені пакети.

Другий імплантат, постійний бекдор під назвою Line Runner, має кілька механізмів захисту, щоб уникнути виявлення, і дозволяє зловмисникам запускати довільний код Lua на зламаних системах.

У спільній консультації, опублікованій Національним центром кібербезпеки Великобританії (NCSC), Канадським центром кібербезпеки (Cyber Centre) та Австралійським центром кібербезпеки Директорату сигналів Австралії, йдеться, що зловмисники використовували свій доступ, щоб:

  • Створювати текстові версії файлу конфігурації пристрою, щоб його можна було викрасти через вебзапити.
  • Контролювати увімкнення та вимкнення служби системного журналу пристроїв для маскування додаткових команд.
  • Змінити конфігурацію автентифікації, авторизації та обліку (AAA), щоб певним керованим учасником пристроям, які відповідають певній ідентифікації, можна було надати доступ у зараженому середовищі.

Cisco закликає клієнтів до оновлення

Компанія випустила оновлення безпеки в середу, щоб виправити дві помилки нульового дня, і тепер наполегливо рекомендує всім клієнтам оновити свої пристрої до фіксованого програмного забезпечення, щоб блокувати будь-які вхідні атаки.

Адміністраторам Cisco також наполегливо рекомендується відстежувати системні журнали на наявність будь-яких ознак незапланованих перезавантажень, несанкціонованих змін конфігурації або використання підозрілих облікових даних.

«Незалежно від вашого постачальника мережевого обладнання зараз настав час переконатися, що пристрої належним чином виправлені, реєструються в центральному безпечному місці та налаштовані на надійну багатофакторну автентифікацію», – додали у компанії.

У цій пораді Cisco також надає інструкції щодо перевірки цілісності пристроїв ASA або FTD.

Раніше цього місяця Cisco попередила про масштабні атаки, націлені на служби VPN і SSH на пристроях Cisco, CheckPoint, Fortinet, SonicWall та Ubiquiti по всьому світу.

Також ми повідомляли, що у березні Cisco поділилася вказівками щодо пом’якшення атак із використанням пароля, націлених на служби Remote Access VPN (RAVPN), налаштовані на пристроях Cisco Secure Firewall.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.