You have not selected any currencies to display

Bl0ckch41nnewsArcaneDoor: explotan dos vulnerabilidades Zero-Day de Cisco ASA

12


Una nueva campaña de malware aprovechó dos vulnerabilidades Zero-Day en los
equipos de red de Cisco Adaptive Security Appliances (ASA) para entregar malware personalizado y facilitar la
recopilación encubierta de datos en entornos productivos.

Cisco Talos, que denominó la actividad
ArcaneDoor, atribuyéndola como obra de un sofisticado actor patrocinado por el estado
no documentado previamente y al que rastrea bajo el nombre UAT4356 (también
conocido como Storm-1849 de Microsoft).

«UAT4356 implementó
dos puertas traseras
como componentes de esta campaña, ‘Line Runner’ y ‘Line Dancer’, que se
usaron colectivamente para llevar a cabo acciones maliciosas en el objetivo,
que incluyeron modificación de configuración, reconocimiento,
captura/exfiltración de tráfico de red y potencialmente movimiento
lateral»,
 dijo Talos.

  • CVE-2024-20353
    (puntuación CVSS: 8,6): vulnerabilidad de denegación de servicio de
    servicios web del software Cisco Adaptive Security Appliance y Firepower
    Threat Defense
  • CVE-2024-20359
    (puntuación CVSS: 6,0): vulnerabilidad de ejecución persistente de código
    local del software Cisco Adaptive Security Appliance y Firepower Threat
    Defense

Si bien la segunda falla permite que un atacante local ejecute código
arbitrario con privilegios de nivel root, se requieren privilegios de
nivel de administrador para explotarlo. Junto con CVE-2024-20353 y
CVE-2024-20359, en pruebas internas se descubrió una falla de inyección
de comandos en el mismo dispositivo (CVE-2024-20358, puntuación CVSS: 6,0).

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA)
agregó
las fallas
a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las correcciones
proporcionadas por los proveedores antes del 1 de mayo de 2024.

Actualmente se desconoce la vía de acceso inicial exacta utilizada para violar
los dispositivos, aunque se dice que UAT4356 comenzó los preparativos para
ello ya en julio de 2023.

A un punto de apoyo exitoso le sigue el despliegue de dos implantes llamados
Line Dancer y Line Runner, el primero de los cuales es una puerta trasera en
memoria que permite a los atacantes cargar y ejecutar
shellcode arbitrarias, incluida la desactivación de registros del
sistema y la extracción de capturas de paquetes.

Line Runner, por otro lado, es un implante LUA persistente basado en HTTP
instalado en Cisco Adaptive Security Appliance (ASA) aprovechando los
Zero-Days mencionados para que pueda sobrevivir a través de reinicios y
actualizaciones. Se ha observado que se utiliza para obtener información
presentada por Line Dancer.

«Se sospecha que Line Runner puede estar presente en un dispositivo
comprometido incluso si Line Dancer no lo está (por ejemplo, como una puerta
trasera persistente o cuando un ASA afectado aún no ha recibido atención
operativa completa por parte de los actores maliciosos)»
,
según un aviso
conjunto publicado por agencias de ciberseguridad de Australia, Canadá y el
Reino Unido.

En cada fase del ataque, se dice que UAT4356 demostró una atención meticulosa
para ocultar sus huellas y la capacidad de emplear métodos complejos para
evadir el análisis forense en memoria y reducir las posibilidades de
detección, lo que contribuye a su sofisticación y naturaleza esquiva.

Esto también sugiere que los actores de amenazas tienen una comprensión
completa del funcionamiento interno del propio ASA y de las acciones forenses
comúnmente realizadas por Cisco para la validación de la integridad de los
dispositivos de red.

No está claro exactamente qué país está detrás de ArcaneDoor, sin embargo,
tanto los delincuentes informáticos respaldados por el
estado chino
como
el ruso
han atacado los enrutadores de Cisco con fines de ciberespionaje en el pasado.
Cisco Talos tampoco especificó cuántos clientes se vieron comprometidos en
estos ataques.

El desarrollo destaca una vez más
el aumento de los ataques
a dispositivos y plataformas perimetrales, como servidores de correo
electrónico, firewalls y VPN, que tradicionalmente carecen de soluciones de
detección y respuesta de endpoints (EDR), como lo demuestra la
reciente serie de ataques
dirigidos a Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks y VMware.


«Los dispositivos de red perimetral son el punto de intrusión perfecto para
campañas centradas en el espionaje»
, afirmó Talos.

Como ruta crítica para que los datos entren y salgan de la red, estos
dispositivos deben ser parcheados de manera rutinaria y rápida; usar versiones
y configuraciones de hardware y software actualizadas; y ser monitoreados de
cerca desde una perspectiva de seguridad. Estos dispositivos permiten a un
actor ingresar directamente a una organización, redirigir o modificar el
tráfico y monitorear las comunicaciones de la red.

Se recomienda observar los IOCs y seguir
estos pasos para detectar una posible infección
y actualización de Cisco Adaptive Security Appliances (ASA).
También se ha publicado una lista de IPs involucradas en estos ataques y que deberían ser buscados en los equipos.

Fuente:
THN





Source link

Los comentarios están cerrados.