Tech

Hackers patrocinados pelo Estado exploram duas vulnerabilidades de dia zero da Cisco para espionagem

Photo of LifeTechWeb LifeTechWebApril 25, 2024
0 3 minutes read
cisc
Vulnerabilidades de dia zero da Cisco

Uma nova campanha de malware aproveitou duas falhas de dia zero nos equipamentos de rede da Cisco para fornecer malware personalizado e facilitar a coleta secreta de dados em ambientes-alvo.

Cisco Talos, que apelidou a atividade Porta Arcanaatribuiu-o como obra de um sofisticado ator patrocinado pelo estado, anteriormente indocumentado, que ele rastreia sob o nome UAT4356 (também conhecido como Storm-1849 da Microsoft).

“O UAT4356 implantou dois backdoors como componentes desta campanha, 'Line Runner' e 'Line Dancer', que foram usados ​​coletivamente para conduzir ações maliciosas no alvo, que incluíam modificação de configuração, reconhecimento, captura/exfiltração de tráfego de rede e movimento potencialmente lateral, “Talos disse.

Cíber segurança

As intrusões, que foram detectadas e confirmadas pela primeira vez no início de Janeiro de 2024, implicam a exploração de duas vulnerabilidades –

  • CVE-2024-20353 (Pontuação CVSS: 8,6) – Vulnerabilidade de negação de serviço de serviços da Internet do Cisco Adaptive Safety Equipment e do Firepower Menace Protection Software program
  • CVE-2024-20359 (Pontuação CVSS: 6,0) – Vulnerabilidade persistente de execução de código native do Cisco Adaptive Safety Equipment e Firepower Menace Protection Software program

Vale a pena notar que uma exploração de dia zero é a técnica ou ataque que um agente mal-intencionado utiliza para aproveitar uma vulnerabilidade de segurança desconhecida para obter acesso a um sistema.

Embora a segunda falha permita que um invasor native execute código arbitrário com privilégios de nível raiz, são necessários privilégios de administrador para explorá-lo. Abordada junto com CVE-2024-20353 e CVE-2024-20359 está uma falha de injeção de comando no mesmo dispositivo (CVE-2024-20358, pontuação CVSS: 6,0) que foi descoberta durante testes de segurança internos.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou as deficiências ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as correções fornecidas pelo fornecedor até 1º de maio de 2024.

Vulnerabilidades de dia zero da Cisco

O caminho de acesso inicial exato usado para violar os dispositivos é atualmente desconhecido, embora se diga que o UAT4356 iniciou os preparativos para isso já em julho de 2023.

Uma posição bem-sucedida é seguida pela implantação de dois implantes chamados Line Dancer e Line Runner, o primeiro dos quais é um backdoor na memória que permite aos invasores fazer add e executar cargas úteis de shellcode arbitrárias, incluindo a desativação de logs do sistema e a exfiltração de capturas de pacotes.

O Line Runner, por outro lado, é um implante Lua persistente baseado em HTTP instalado no Cisco Adaptive Safety Equipment (ASA), aproveitando os dias zero mencionados acima para que possa sobreviver após reinicializações e atualizações. Foi observado ser utilizado para buscar informações encenada pelo Line Dancer.

“Suspeita-se que o Line Runner possa estar presente em um dispositivo comprometido, mesmo que o Line Dancer não esteja (por exemplo, como um backdoor persistente ou quando um ASA impactado ainda não recebeu atenção operacional complete dos atores maliciosos)”, de acordo com um aconselhamento conjunto publicado por agências de segurança cibernética da Austrália, Canadá e Reino Unido

Diz-se que em todas as fases do ataque, o UAT4356 demonstrou atenção meticulosa ao esconder pegadas digitais e a capacidade de empregar métodos intrincados para escapar da análise forense da memória e reduzir as possibilities de detecção, contribuindo para sua sofisticação e natureza evasiva.

Isto também sugere que os atores da ameaça têm uma compreensão completa do funcionamento interno do próprio ASA e das “ações forenses comumente executadas pela Cisco para validação da integridade dos dispositivos de rede”.

Cíber segurança

Não está claro exatamente qual país está por trás do ArcaneDoor, no entanto, hackers apoiados pelo Estado chinês e russo já atacaram roteadores Cisco para fins de espionagem cibernética no passado. O Cisco Talos também não especificou quantos clientes foram comprometidos nesses ataques.

O desenvolvimento mais uma vez destaca o aumento do direcionamento de dispositivos e plataformas de ponta, como servidores de e-mail, firewalls e VPNs, que tradicionalmente não possuem soluções de detecção e resposta de endpoint (EDR), como evidenciado pela recente série de ataques direcionados a Barracuda Networks, Fortinet, Ivanti, Redes Palo Alto e VMware.

“Dispositivos de rede perimetral são o ponto de intrusão perfeito para campanhas focadas em espionagem”, disse Talos.

“Como um caminho crítico para a entrada e saída de dados da rede, esses dispositivos precisam ser corrigidos de forma rotineira e imediata; usar versões e configurações atualizadas de {hardware} e software program; e ser monitorados de perto do ponto de vista da segurança. Ganhar uma posição segura esses dispositivos permitem que um ator entre diretamente em uma organização, redirecione ou modifique o tráfego e monitore as comunicações da rede.”

Tags
Photo of LifeTechWeb LifeTechWebApril 25, 2024
0 3 minutes read
Photo of LifeTechWeb

LifeTechWeb

Related Articles

Important AI trends 2024

Tendências importantes de IA que você deve conhecer em 2024

March 7, 2024
ransomware

Black Basta Ransomware pode ter explorado falha de dia zero do MS Home windows

June 12, 2024
Sonos Ace Headphones

Fones de ouvido Sonos Ace são revisados ​​(vídeo)

June 6, 2024
image1

Implementando controles de confiança zero para conformidade

March 22, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button