ArcaneDoor: spionaggio con Zero-Day su dispositivi Cisco

da Livio Varriale
0 commenti 2 minuti leggi

Un sofisticato attore statali, identificato come UAT4356 (noto anche come Storm-1849 da Microsoft), ha sfruttato due vulnerabilitร  zero-day nei dispositivi di rete Cisco per condurre una campagna di spionaggio avanzato, denominata ArcaneDoor. Questa operazione ha mirato a raccogliere dati in modo occulto e implementare attacchi persistenti nei target ambientali.

Dettagli dellโ€™Attacco

image 249
ArcaneDoor: spionaggio con Zero-Day su dispositivi Cisco 8

Le due vulnerabilitร  zero-day sfruttate in questa campagna includono:

  • CVE-2024-20353: Una vulnerabilitร  di tipo Denial-of-Service nel Web Services del software Cisco Adaptive Security Appliance e Firepower Threat Defense, con un punteggio CVSS di 8.6.
  • CVE-2024-20359: Una vulnerabilitร  che permette lโ€™esecuzione locale di codice con privilegi di root, con un punteggio CVSS di 6.0.

Implementazione dei Backdoor

Durante lโ€™attacco, sono state distribuite due backdoor:

  • Line Dancer: Un backdoor in-memory che consente agli attaccanti di caricare ed eseguire payload arbitrari di shellcode, inclusa la disabilitazione dei log di sistema e lโ€™esfiltrazione di dati di traffico di rete.
  • Line Runner: Un impianto HTTP basato su Lua installato persistentemente sullโ€™appliance Cisco ASA, sfruttando le vulnerabilitร  zero-day menzionate, in modo che possa sopravvivere a riavvii e aggiornamenti.

Complessitร  e implicazioni dellโ€™Attacco

image 249 1
ArcaneDoor: spionaggio con Zero-Day su dispositivi Cisco 9

Lโ€™attacco ha dimostrato una capacitร  notevole di nascondere tracce digitali e di impiegare metodi complessi per evitare la rilevazione attraverso forensi della memoria, sottolineando la sofisticatezza e lโ€™elusivitร  dellโ€™attore. Questo suggerisce che gli aggressori hanno una comprensione approfondita delle dinamiche interne dellโ€™appliance Cisco ASA e delle azioni forensi comunemente eseguite da Cisco per la validazione dellโ€™integritร  dei dispositivi di rete.

Impatto e Risposta alla Sicurezza

Le agenzie di sicurezza di Australia, Canada e Regno Unito hanno pubblicato un avviso congiunto sullโ€™attivitร  di ArcaneDoor, evidenziando la crescente minaccia agli apparati di rete perimetrali, come server email, firewall e VPN, che tradizionalmente mancano di soluzioni di Endpoint Detection and Response (EDR). Lโ€™U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto le vulnerabilitร  al suo catalogo di vulnerabilitร  conosciute sfruttate, richiedendo che le agenzie federali applichino le correzioni fornite dai fornitori entro il 1 maggio 2024.

ArcaneDoor illustra come i dispositivi di rete perimetrali siano punti dโ€™intrusione critici per le campagne di spionaggio. Questi dispositivi necessitano di patch regolari e tempestive, lโ€™uso di hardware e software aggiornati, e una stretta sorveglianza da una prospettiva di sicurezza. Lโ€™ottenimento di un punto dโ€™appoggio su questi dispositivi permette agli attori di muoversi direttamente allโ€™interno di unโ€™organizzazione, deviare o modificare il traffico e monitorare le comunicazioni di rete.

Annunci

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara