Egy új malware kampány a Cisco hálózati eszközeinek két nulladik napi hibáját használja ki, hogy kártevőket juttasson el és megkönnyítse a célkörnyezetekben a titkos adatgyűjtést.
A Cisco Talos a tevékenységet ArcaneDoornak nevezte el és egy korábban nem dokumentált, állami támogatású szereplőnek tulajdonítja, amelyet UAT4356 (a Microsoft által Storm-1849) néven követ nyomon.
Az UAT4356 által telepített két backdoort, a “Line Runner“-t és a “Line Dancer“-t együttesen használták fel a célponton történő rosszindulatú tevékenységek végrehajtására (konfiguráció módosítása, felderítés, hálózati forgalom rögzítése/szűrése és oldalirányú mozgás).
A behatolások két sebezhetőség kihasználásával történtek:
CVE-2024-20353 (CVSS érték: 8.6) – Cisco Adaptive Security Appliance és Firepower Threat Defense Software Web Services Denial-of-Service sebezhetőség. A sebezhetőség lehetővé teszi, hogy egy hitelesítés nélküli, távoli támadó újratöltse az eszközt, ami DoS állapotot eredményezhet.
CVE-2024-20359 (CVSS érték: 6.0) – Cisco Adaptive Security Appliance és Firepower Threat Defense Software tartós helyi kódvégrehajtási sebezhetőség. Lehetővé teszi egy helyi támadó számára, hogy tetszőleges kódot futtasson root szintű jogosultságokkal, a kihasználásához rendszergazdai szintű jogosultságok szükségesek.
Ezek mellett egy parancsinjekciós hibát is felfedeztek a belső biztonsági tesztelés során. (CVE-2024-20358, CVSS érték: 6.0).
A CISA a CVE-2024-20353 és CVE-2024-20359 sérülékenységeket felvette a KEV katalógusába, és felszólította a szövetségi ügynökségeket, hogy 2024. május 1-jéig alkalmazzák a gyártók által biztosított javításokat.
Az eszközök feltöréséhez használt kezdeti hozzáférési útvonal jelenleg nem ismert, bár az UAT4356 állítólag már 2023 júliusában megkezdte az előkészületeket.
Az UAT4356 támadás minden fázisában nagy figyelmet fordított a digitális lábnyomok elrejtésére, és képes volt bonyolult módszereket alkalmazni a memória forensic vizsgálatok elkerülésére és a felderítés esélyének csökkentésére.