Две уязвимости нулевого дня в Cisco полгода используются для атак на госучреждения

С ноября 2023 г. прежде неизвестная хакерская группировка изобретательно эксплуатирует две уязвимости в сетевых экранах Cisco. В компании уверены, что речь о деятельности спецслужб.

Две некритические уязвимости

Кибергруппировка, известная как UAT4356 и STORM-1849, атакует сети госучреждений по всему миру, используя сразу две уязвимости нулевого дня в межсетевых экранах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Изначальный вектор атаки при этом обнаружить никто пока не смог.

Характерно, что уязвимости не являются критическими: CVE-2024-20353 набрала по шкале CVSS 8,6 балла - с её помощью можно вызвать отказ оборудования в обслуживании; CVE-2024-20359 (постоянное выполнение локального кода) набрала оценивается в 6 из 10 возможных баллов. Cisco выпустила исправления для обеих.

Кампания, получившая название ArcaneDoors, продолжается с начала ноября 2023 г., то есть вот уже почти полгода. В Cisco о ней узнали только в январе 2024 г. Эксперты компании также установили, что операторы кампании разработали и протестировали эксплойты к данным уязвимостям самое позднее в июле 2023 г.

И два бэкдора

В кампании задействована комбинация из двух бэкдоров: Line Runner и Line Dancer. С их помощью операторы кампании обеспечивали себе постоянство присутствия в целевых сетях и проведение других вредоносных действий, таких как перенастройка оборудования, разведку сетевого окружения, захват и эксфильтрацию трафика, а также горизонтальное перемещение в локальных сетях.

Line Dancer представляет собой загрузчик shell-кода, функционирующий целиком в памяти. С его помощью можно доставлять и выполнять произвольный код для отключения логов, обеспечения удаленного доступа и фильтрации захваченных пакетов.

Второй имплант - персистентный бэкдор под названием Line Runner, снабжён множеством механизмов обхода защиты и обнаружения. С его помощью злоумышленники запускают произвольный код Lua на взломанных системах.

Госхакеры в деле

В Cisco указывают, что уровень экспертизы операторов кампании, в том числе техническая осведомлённость об атакуемом оборудовании и его программных компонентах, указывает на то, что хакеры пользуются поддержкой некоего государства.

UAT4356 - новый актор, о его происхождении пока никаких конкретных данных нет.

Топовые органы кибербезопасности Великобритании, Канады и Австралии опубликовали совместный бюллетень, в котором указывается, что группировка, стоящая за ArcaneDoors, перенастраивает взломанные устройства под свои нужды. В частности, в уязвимых межсетевых экранах меняются настройки авторизации таким образом, чтобы обеспечивать моментальный доступ в расположенные за ними сети конкретным устройствам под контролем операторов. Иными словами, эти устройства добавляются в белый список.

«Очевидно, что работают не любители», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, об этом свидетельствует и уровень подготовки, и выбор жертв: систематические атаки именно на правительственные органы - отчётливый признак деятельности киберподразделений спецслужб. «Стоит, впрочем, иметь в виду, что саму возможность таких атак небрежное отношение администраторов к сетевому оборудованию открывает даже чаще, чем наличие уязвимостей в нём. Обновления выходят быстро, а вот до момента их установки в конечных точках проходят иногда месяцы», - подытожила Анастасия Мельникова.

Компания Cisco настоятельнейшим образом рекомендует всем своим клиентам срочно обновить программные оболочки своих межсетевых экранов, чтобы блокировать входящие атаки. Системным администраторам столь же настоятельно рекомендовано проверить системные логи на предмет несанкционированных перезагрузок, изменений настроек и появления подозрительных реквизитов доступа. Необходимо также убедиться, что доступ к устройствам возможен только из проверенных источников и защищён средствами многофакторной авторизации.

В своём бюллетене Cisco также предоставляет инструкции по проверке целостности программных оболочек своих устройств.

Источник: https://cnews.ru/link/a599256

Возврат к списку


Подписаться на рассылку:

 



Microsoft         Microsoft Authorized Education Reseller         Sun         IBM          Cisco          Dr.Web          Kaspersky          Dell          HP          VMware          APC          Symantec          Norma          ViewSonic          Acer          Aladdin          Veeam          EMC          DEPO Computers           GFI          Intel