
Cisco a averti aujourd’hui qu’un groupe de piratage soutenu par l’État exploitait deux vulnérabilités zero-day dans les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) depuis novembre 2023 pour violer les réseaux gouvernementaux dans le monde entier.
Les pirates, identifiés comme UAT4356 par Cisco Talos et STORM-1849 par Microsoft, ont commencé à infiltrer des périphériques périphériques vulnérables début novembre 2023 dans le cadre d’une campagne de cyberespionnage suivie sous le nom d’ArcaneDoor.
Même si Cisco n’a pas encore identifié le vecteur d’attaque initial, il a découvert deux failles de sécurité— CVE-2024-20353 (déni de service) et CVE-2024-20359 (exécution de code local persistant)—les acteurs de la menace utilisés comme jours zéro dans ces attaques.
Cisco a pris connaissance de la campagne ArcaneDoor début janvier 2024 et a trouvé des preuves que les attaquants avaient testé et développé des exploits pour cibler les deux jours zéro depuis au moins juillet 2023.
Exploité pour pirater les pare-feu Cisco
Les deux vulnérabilités ont permis aux auteurs de menaces de déployer des logiciels malveillants jusque-là inconnus et de maintenir la persistance sur des périphériques ASA et FTD compromis.
L’un des implants malveillants, Line Dancer, est un chargeur de shellcode en mémoire qui permet de fournir et d’exécuter des charges utiles arbitraires de shellcode pour désactiver la journalisation, fournir un accès à distance et exfiltrer les paquets capturés.
Le deuxième implant, une porte dérobée persistante nommée Line Runner, est doté de multiples mécanismes d’évasion de défense pour éviter la détection et permet aux attaquants d’exécuter du code Lua arbitraire sur les systèmes piratés.
« Cet acteur a utilisé des outils sur mesure qui ont clairement mis l’accent sur l’espionnage et une connaissance approfondie des appareils qu’ils ciblaient, caractéristiques d’un acteur sophistiqué parrainé par un État », a déclaré Cisco.
« UAT4356 a déployé deux portes dérobées en tant que composants de cette campagne, « Line Runner » et « Line Dancer », qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, qui comprenaient la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et potentiellement des mouvements latéraux. »
Cisco exhorte les clients à mettre à niveau
La société a publié mercredi des mises à jour de sécurité pour corriger les deux jours zéro et « recommande fortement » à tous les clients de mettre à niveau leurs appareils vers un logiciel fixe pour bloquer toute attaque entrante.
Les administrateurs Cisco sont également « fortement encouragés » à surveiller les journaux système pour détecter tout signe de redémarrages imprévus, de modifications de configuration non autorisées ou d’activités d’informations d’identification suspectes.
« Quel que soit votre fournisseur d’équipement réseau, le moment est venu de vous assurer que les appareils sont correctement corrigés, connectés à un emplacement central et sécurisé et configurés pour une authentification multifacteur (MFA) forte », a ajouté la société.
Cisco fournit également des instructions sur la vérification de l’intégrité des périphériques ASA ou FTD dans cet avis.
Plus tôt ce mois-ci, Cisco a mis en garde contre des attaques par force brute à grande échelle ciblant les services VPN et SSH sur les appareils Cisco, CheckPoint, Fortinet, SonicWall et Ubiquiti dans le monde entier.
En mars, il a également partagé des conseils sur l’atténuation des attaques par pulvérisation de mots de passe ciblant les services VPN d’accès à distance (RAVPN) configurés sur les périphériques Cisco Secure Firewall.