Webinar:

Detecteren van Phishing met een SOC

Lees verder

Pinewood Security Bulletin – Cisco warns for vulnerabilities used to install backdoors in ASA/FirePower devices

For English, see below.

Beschrijving

Cisco heeft een waarschuwing uitgegeven voor een aanvalscampagne genaamd “ArcaneDoor” waarbij kwaadwillenden sinds November 2023 Cisco ASA en FirePower devices hebben voorzien van backdoors. De vermoedelijk statelijke actor achter deze campagne (UAT4356/STORM-1849) heeft daarbij twee verschillende typen backdoors op devices geplaatst (“Line Runner” en “Line Dancer”). Met deze backdoors kon de actor configuraties van devices wijzigen, verdere reconnaissance uitvoeren, netwerkverkeer onderscheppen en exfiltreren en mogelijk verder bewegen binnen het netwerk.

Binnen de campagne hebben de aanvallers misbruik gemaakt van twee kwetsbaarheden waarmee lokaal root-rechten kunnen worden verkregen (CVE-2024-20359) en op afstand een reboot van het device kan worden geïnitieerd (CVE-2024-20353). Geen van beide kwetsbaarheden bieden een aanvaller echter de mogelijkheid om op afstand ongeauthenticeerd toegang tot een device te verkrijgen. Het is op dit moment dan ook nog onduidelijk hoe de aanvallers in eerste instantie deze toegang hebben verkregen.

Kwetsbare versies

De kwetsbaarheden bevinden zich in Cisco ASA 9.12 en 9.14.

Oplossingen en tijdelijke mitigaties

Cisco heeft nieuwe versies van Cisco ASA uitgebracht om de kwetsbaarheden te verhelpen. De meest recente versies van Cisco ASA zijn:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detectie van mogelijk misbruik

Detectie van “Line Runner”

Cisco beschrijft twee methoden voor het detecteren van de “Line Runner” backdoor die beiden controles bevatten op de aanwezigheid van een ZIP-bestand op disk0:

  • Optie 1: Update het device met een fix voor CVE-2024-20359 en bekijk daarna de inhoud van disk0: (via het commando show disk0:). Indien disk0: een ZIP-bestand bevat (“client_bundle_install.zip” of andere ongebruikelijke ZIP), dan is dat een indicatie van de aanwezigheid van “Line Runner”.
  • Optie 2: Maak een dummy ZIP-bestand aan op disk0:, reboot het device en controleer daarna of het bestand “client_bundle_install.zip” aanwezig is op disk0:. Indien dit het geval is, is dit een sterke indicatie voor de aanwezigheid van “Line Runner”. Voer voor deze controle de volgende commando’s uit (let op dat het device hierdoor zal herstarten):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Controle van geheugen

Via het commando show memory region | include lina is het mogelijk een output te genereren van de geheugenopmaak van het device. In de output van dit commando mag er maar één regel voorkomen waarin de permissies “r-xp” terug te vinden zijn. Indien meerdere regels in de output deze permissies bevatten, is het device mogelijk gecompromitteerd.

Controle van IP-adressen

Cisco heeft een reeks aan IP-adressen gepubliceerd die in de aanvalscampagne zijn gebruikt. Het Pinewood SOC heeft deze IP-adressen aan de monitoring toegevoegd en een historische check uitgevoerd tegen de data van klanten die gebruikmaken van Cisco ASA.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Cisco sent out a warning for a threat actor campaign named “ArcaneDoor” in which attackers have infected Cisco ASA and FirePower devices with backdoors since November 2023. It is believed that the nation-state actor UAT4356 (STORM-1849) behind this campaign distributed two backdoors (“Line Runner” and “Line Dancer”) to vulnerable devices. With these backdoors in place, the threat actor was able to modify the system’s configuration, start reconnaissance, capture and exfiltrate network traffic and potentially move laterally within the network.

Within the campaign, the attackers exploited two vulnerabilities, one that enables a local attacker to gain root-permissions (CVE-2024-20359) and another that allows a remote attacker to initiate a reboot of the device (CVE-2024-20353). None of these vulnerabilities allow an attacker to gain remote access to the device. It is therefore still unclear how the attackers succeeded in getting the initial access in the first place.

Vulnerable versions

The vulnerabilities exist in ASA versions 9.12 and 9.14.

Solutions and workarounds

Cisco released new versions of Cisco ASA to fix the vulnerabilities. The most recent versions of Cisco ASA currently are:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detection of possible misuse

Detection of “Line Runner”

Cisco describes two ways in which the existence of “Line Runner” on a device can be determined by checking for a specific ZIP-file on disk0:

  • Option 1: Update the device with a fix for CVE-2024-20359 and then check the contents of disk0: (by issuing the command show disk0:). If disk0: contains a ZIP file (“client_bundle_install.zip” or other unusual ZIP-file), this is an indication that “Line Runner” is installed on the device.
  • Option 2: Create a dummy ZIP file on disk0:, reboot the device and then check if the file “client_bundle_install.zip” can be found on disk0:. If this is the case, this is a strong indication that “Line Runner” is installed. To execute this check, use the commands below (note that the device will reboot):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Memory check

By running the command show memory region | include lina, it’s possible to generate an output showing all the memory regions active within the device. This output should contain only one line showing the permissions “r-xp”. If multiple memory regions are enabled with these permissions, this is an indication that the device has been compromised.

IP address check

Cisco published a list of IP addresses that are known to be involved in the attacks. The Pinewood SOC added these IP addresses to its detection and executed a historical check against data of customers using Cisco ASA.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl