For English, see below.
BeschrijvingCisco heeft een waarschuwing uitgegeven voor een aanvalscampagne genaamd “ArcaneDoor” waarbij kwaadwillenden sinds November 2023 Cisco ASA en FirePower devices hebben voorzien van backdoors. De vermoedelijk statelijke actor achter deze campagne (UAT4356/STORM-1849) heeft daarbij twee verschillende typen backdoors op devices geplaatst (“Line Runner” en “Line Dancer”). Met deze backdoors kon de actor configuraties van devices wijzigen, verdere reconnaissance uitvoeren, netwerkverkeer onderscheppen en exfiltreren en mogelijk verder bewegen binnen het netwerk. Binnen de campagne hebben de aanvallers misbruik gemaakt van twee kwetsbaarheden waarmee lokaal root-rechten kunnen worden verkregen (CVE-2024-20359) en op afstand een reboot van het device kan worden geïnitieerd (CVE-2024-20353). Geen van beide kwetsbaarheden bieden een aanvaller echter de mogelijkheid om op afstand ongeauthenticeerd toegang tot een device te verkrijgen. Het is op dit moment dan ook nog onduidelijk hoe de aanvallers in eerste instantie deze toegang hebben verkregen. Kwetsbare versiesDe kwetsbaarheden bevinden zich in Cisco ASA 9.12 en 9.14. Oplossingen en tijdelijke mitigatiesCisco heeft nieuwe versies van Cisco ASA uitgebracht om de kwetsbaarheden te verhelpen. De meest recente versies van Cisco ASA zijn:
Detectie van mogelijk misbruikDetectie van “Line Runner” Cisco beschrijft twee methoden voor het detecteren van de “Line Runner” backdoor die beiden controles bevatten op de aanwezigheid van een ZIP-bestand op disk0:
Controle van geheugen Via het commando show memory region | include lina is het mogelijk een output te genereren van de geheugenopmaak van het device. In de output van dit commando mag er maar één regel voorkomen waarin de permissies “r-xp” terug te vinden zijn. Indien meerdere regels in de output deze permissies bevatten, is het device mogelijk gecompromitteerd. Controle van IP-adressen Cisco heeft een reeks aan IP-adressen gepubliceerd die in de aanvalscampagne zijn gebruikt. Het Pinewood SOC heeft deze IP-adressen aan de monitoring toegevoegd en een historische check uitgevoerd tegen de data van klanten die gebruikmaken van Cisco ASA. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl. ===== ENGLISH ===== DescriptionCisco sent out a warning for a threat actor campaign named “ArcaneDoor” in which attackers have infected Cisco ASA and FirePower devices with backdoors since November 2023. It is believed that the nation-state actor UAT4356 (STORM-1849) behind this campaign distributed two backdoors (“Line Runner” and “Line Dancer”) to vulnerable devices. With these backdoors in place, the threat actor was able to modify the system’s configuration, start reconnaissance, capture and exfiltrate network traffic and potentially move laterally within the network. Within the campaign, the attackers exploited two vulnerabilities, one that enables a local attacker to gain root-permissions (CVE-2024-20359) and another that allows a remote attacker to initiate a reboot of the device (CVE-2024-20353). None of these vulnerabilities allow an attacker to gain remote access to the device. It is therefore still unclear how the attackers succeeded in getting the initial access in the first place. Vulnerable versionsThe vulnerabilities exist in ASA versions 9.12 and 9.14. Solutions and workaroundsCisco released new versions of Cisco ASA to fix the vulnerabilities. The most recent versions of Cisco ASA currently are:
Detection of possible misuseDetection of “Line Runner” Cisco describes two ways in which the existence of “Line Runner” on a device can be determined by checking for a specific ZIP-file on disk0:
Memory check By running the command show memory region | include lina, it’s possible to generate an output showing all the memory regions active within the device. This output should contain only one line showing the permissions “r-xp”. If multiple memory regions are enabled with these permissions, this is an indication that the device has been compromised. IP address check Cisco published a list of IP addresses that are known to be involved in the attacks. The Pinewood SOC added these IP addresses to its detection and executed a historical check against data of customers using Cisco ASA. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl. |