Sommario
Un sofisticato attore statali, identificato come UAT4356 (noto anche come Storm-1849 da Microsoft), ha sfruttato due vulnerabilitร zero-day nei dispositivi di rete Cisco per condurre una campagna di spionaggio avanzato, denominata ArcaneDoor. Questa operazione ha mirato a raccogliere dati in modo occulto e implementare attacchi persistenti nei target ambientali.
Dettagli dellโAttacco
Le due vulnerabilitร zero-day sfruttate in questa campagna includono:
- CVE-2024-20353: Una vulnerabilitร di tipo Denial-of-Service nel Web Services del software Cisco Adaptive Security Appliance e Firepower Threat Defense, con un punteggio CVSS di 8.6.
- CVE-2024-20359: Una vulnerabilitร che permette lโesecuzione locale di codice con privilegi di root, con un punteggio CVSS di 6.0.
Implementazione dei Backdoor
Durante lโattacco, sono state distribuite due backdoor:
- Line Dancer: Un backdoor in-memory che consente agli attaccanti di caricare ed eseguire payload arbitrari di shellcode, inclusa la disabilitazione dei log di sistema e lโesfiltrazione di dati di traffico di rete.
- Line Runner: Un impianto HTTP basato su Lua installato persistentemente sullโappliance Cisco ASA, sfruttando le vulnerabilitร zero-day menzionate, in modo che possa sopravvivere a riavvii e aggiornamenti.
Complessitร e implicazioni dellโAttacco
Lโattacco ha dimostrato una capacitร notevole di nascondere tracce digitali e di impiegare metodi complessi per evitare la rilevazione attraverso forensi della memoria, sottolineando la sofisticatezza e lโelusivitร dellโattore. Questo suggerisce che gli aggressori hanno una comprensione approfondita delle dinamiche interne dellโappliance Cisco ASA e delle azioni forensi comunemente eseguite da Cisco per la validazione dellโintegritร dei dispositivi di rete.
Impatto e Risposta alla Sicurezza
Le agenzie di sicurezza di Australia, Canada e Regno Unito hanno pubblicato un avviso congiunto sullโattivitร di ArcaneDoor, evidenziando la crescente minaccia agli apparati di rete perimetrali, come server email, firewall e VPN, che tradizionalmente mancano di soluzioni di Endpoint Detection and Response (EDR). LโU.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto le vulnerabilitร al suo catalogo di vulnerabilitร conosciute sfruttate, richiedendo che le agenzie federali applichino le correzioni fornite dai fornitori entro il 1 maggio 2024.
ArcaneDoor illustra come i dispositivi di rete perimetrali siano punti dโintrusione critici per le campagne di spionaggio. Questi dispositivi necessitano di patch regolari e tempestive, lโuso di hardware e software aggiornati, e una stretta sorveglianza da una prospettiva di sicurezza. Lโottenimento di un punto dโappoggio su questi dispositivi permette agli attori di muoversi direttamente allโinterno di unโorganizzazione, deviare o modificare il traffico e monitorare le comunicazioni di rete.