Cisco advirtió recientemente que un grupo de hackers, identificados como UAT4356 por Cisco Talos y STORM-1849 por Microsoft, han estado explotando dos vulnerabilidades Zero Day en los firewalls Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) desde noviembre de 2023 para vulnerar las redes gubernamentales en todo el mundo en una campaña de ciber espionaje identificada como ArcaneDoor.
Aunque Cisco aún no ha identificado el vector de ataque inicial, descubrió y solucionó dos fallas de seguridad:
CVE-2024-20353 (CVSS: 8.6): Una vulnerabilidad en los servidores web VPN y de administración para Cisco ASA y Cisco FTD que podría permitir que un atacante remoto no autenticado provoque que el dispositivo se recargue inesperadamente, lo que resultaría en una condición de denegación de servicio (DoS).
CVE-2024-20359 (CVSS: 6.0): Una vulnerabilidad en una capacidad heredada que permite la precarga de clientes VPN y complementos en Cisco ASA y Cisco FTD que podría permitir que un atacante local autenticado ejecute código arbitrario con privilegios de nivel raíz. Se requieren privilegios de nivel de administrador para aprovechar esta vulnerabilidad.
Si bien la segunda falla permite que un atacante local ejecute código arbitrario con privilegios de nivel de raíz, se requieren privilegios de nivel de administrador para explotarlo. Junto con CVE-2024-20353 y CVE-2024-20359, se encuentra una falla de inyección de comandos en el mismo dispositivo que se descubrió durante las pruebas de seguridad internas.
CVE-2024-20358 (CVSS: 6.0): una vulnerabilidad en la funcionalidad de restauración de Cisco ASA que está disponible en Cisco ASA y Cisco FTD que podría permitir a un atacante local autenticado, con privilegios de administrador, ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de nivel raíz.
Las dos vulnerabilidades permitieron a los actores de amenazas implementar malware previamente desconocido y mantener la persistencia en dispositivos ASA y FTD comprometidos.
Uno de los implantes de malware, Line Dancer, es un cargador de shellcode en memoria que ayuda a entregar y ejecutar cargas útiles de shellcode arbitrarias para deshabilitar el registro, proporcionar acceso remoto y filtrar paquetes capturados.
El segundo implante, una puerta trasera persistente llamada Line Runner, viene con múltiples mecanismos de evasión de defensa para evitar la detección y permite a los atacantes ejecutar código Lua arbitrario en los sistemas vulnerados.
Indicadores de compromiso (IOC)
A continuación, se muestra una lista de direcciones IP que han sido utilizadas por UAT4356, tener en cuenta que algunas de estas IPs no están controladas directamente por los propios atacantes.
| IPs probablemente controladas por los atacantes | ||
| 192.36.57[.]181 | 213.156.138[.]77 | 213.156.138[.]78 |
| 185.167.60[.]85 | 89.44.198[.]189 | 121.227.168[.]69 |
| 185.227.111[.]17 | 45.77.52[.]253 | 213.156.138[.]68 |
| 176.31.18[.]153 | 103.114.200[.]230 | 194.4.49[.]6 |
| 172.105.90[.]154 | 212.193.2[.]48 | 185.244.210[.]65 |
| 185.244.210[.]120 | 51.15.145[.]37 | 216.238.75[.]155 |
| 45.86.163[.]224 | 89.44.198[.]196 | |
| 172.105.94[.]93 | 131.196.252[.]148 | |
| Multi-Tenant Infrastructure | |||
| 5.183.95[.]95 | 103.51.140[.]101 | 152.70.83[.]47 | 216.155.157[.]136 |
| 45.63.119[.]131 | 103.119.3[.]230 | 154.22.235[.]13 | 216.238.66[.]251 |
| 45.76.118[.]87 | 103.125.218[.]198 | 154.22.235[.]17 | 216.238.71[.]49 |
| 45.77.54[.]14 | 104.156.232[.]22 | 154.39.142[.]47 | 216.238.72[.]201 |
| 45.86.163[.]244 | 107.148.19[.]88 | 172.233.245[.]241 | 216.238.74[.]95 |
| 45.128.134[.]189 | 107.172.16[.]208 | 185.123.101[.]250 | 216.238.81[.]149 |
| 89.44.198[.]16 | 107.173.140[.]111 | 192.210.137[.]35 | 216.238.85[.]220 |
| 96.44.159[.]46 | 121.37.174[.]139 | 194.32.78[.]183 | 216.238.86[.]24 |
| 103.20.222[.]218 | 139.162.135[.]12 | 205.234.232[.]196 | |
| 103.27.132[.]69 | 149.28.166[.]244 | 207.148.74[.]250 | |
Esta amenaza demuestra varias técnicas de MITRE ATT&CK, en particular:
- Line Runner persistence mechanism (T1037),
- The reboot action via CVE-2024-20353 (T1653),
- Base64 obfuscation (T1140),
- Hooking of the processHostScanReply() function (T0874),
- Disabling syslog and tampering with AAA (T1562-001),
- Injection of code into AAA and Crash Dump processes (T1055)
- Execution of CLI commands (T1059),
- Bypassing of the AAA mechanism (T1556),
- Removal of files after execution (T1070-004),
- HTTP interception for C2 communications (T1557),
- HTTP C2 (T1071-001),
- HTTP C2 one-way backdoor (T1102-003),
- Data exfiltration over C2 (T1041),
- Network sniffing (T1040)
Versiones afectadas:
- Versiones de Firepower Threat Defense (FTD) anteriores a 7.0.6.2.
- Versiones de Adaptive Security Appliance (ASA) anteriores a 9.16.4.57.
Solución:
- Firepower Threat Defense (FTD) versión 7.0.6.2 o posteriores.
- Adaptive Security Appliance (ASA) versión 9.16.4.57 o posteriores.
Recomendaciones:
- Actualizar el software a la última versión disponible lo antes posible para solventar las vulnerabilidades mencionadas.
- Supervisar los registros del sistema en busca de signos de reinicios no programados, cambios de configuración no autorizados o actividad de credenciales sospechosas.
Referencias:
- https://www.bleepingcomputer.com/news/security/arcanedoor-hackers-exploit-cisco-zero-days-to-breach-govt-networks/
- https://thehackernews.com/2024/04/state-sponsored-hackers-exploit-two.html
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h