Η Cisco κρούει τον κώδωνα του κινδύνου για τις Zero-Days 'ArcaneDoor' που πλήττουν τις πλατφόρμες ASA Firewall

[deniSun]

Σύμφωνα με μια συμβουλευτική από την Cisco Talos, οι επιτιθέμενοι στοχεύουν σε ελαττώματα λογισμικού σε ορισμένες συσκευές που εκτελούν προϊόντα Cisco Adaptive Security Appliance (ASA) ή Cisco Firepower Threat Defense (FTD) για να εμφυτεύσουν κακόβουλο λογισμικό, να εκτελέσουν εντολές και ενδεχομένως να διαρρεύσουν δεδομένα από συσκευές που έχουν παραβιαστεί.

Η εκστρατεία, με την ονομασία ArcaneDoor, χρησιμοποιεί exploits για δύο τεκμηριωμένα σφάλματα λογισμικού (CVE-2024-20353 και CVE-2024-20359) στα προϊόντα της Cisco, αλλά οι κυνηγοί κακόβουλου λογισμικού της εταιρείας δεν είναι ακόμη σίγουροι για το πώς οι επιτιθέμενοι εισέβαλαν.

"Δεν έχουμε προσδιορίσει τον αρχικό φορέα πρόσβασης που χρησιμοποιήθηκε σε αυτή την εκστρατεία. Δεν έχουμε εντοπίσει στοιχεία εκμετάλλευσης πριν από την αυθεντικοποίηση μέχρι σήμερα", δήλωσε η Cisco Talos.

"Το ArcaneDoor είναι μια εκστρατεία που αποτελεί το πιο πρόσφατο παράδειγμα κρατικά υποστηριζόμενων φορέων που στοχεύουν συσκευές περιμετρικού δικτύου από πολλούς προμηθευτές. Περιζήτητες από αυτούς τους δρώντες, οι συσκευές περιμετρικού δικτύου αποτελούν το τέλειο σημείο εισβολής για εκστρατείες με επίκεντρο την κατασκοπεία", εξήγησε η Cisco, σημειώνοντας ότι η απόκτηση ερείσματος σε αυτές τις συσκευές επιτρέπει σε έναν δρώντα να περιστρέφεται άμεσα σε έναν οργανισμό, να ανακατευθύνει ή να τροποποιεί την κυκλοφορία και να παρακολουθεί τις επικοινωνίες του δικτύου.

Η Cisco δήλωσε ότι ένας ανώνυμος πελάτης ενημέρωσε την ομάδα PSIRT στις αρχές του 2024 σχετικά με "ανησυχίες για την ασφάλεια" στα προϊόντα ASA firewall, ξεκινώντας μια έρευνα που οδήγησε στην ανακάλυψη του δράστη της απειλής (που εντοπίστηκε ως UAT4356 από την Talos και STORM-1849 από το Κέντρο Πληροφοριών Απειλών της Microsoft).

"Αυτός ο δράστης χρησιμοποίησε ειδικά σχεδιασμένα εργαλεία που έδειχναν σαφή εστίαση στην κατασκοπεία και βαθιά γνώση των συσκευών που στόχευαν, χαρακτηριστικά ενός εξελιγμένου κρατικά χρηματοδοτούμενου δράστη", δήλωσε η εταιρεία.

Η Cisco δήλωσε ότι παρατήρησε την ομάδα hacking να αναπτύσσει δύο backdoors που χρησιμοποιούνται συλλογικά για τη διενέργεια κακόβουλων ενεργειών στον στόχο, οι οποίες περιλάμβαναν την τροποποίηση των ρυθμίσεων, την αναγνώριση, τη σύλληψη/διείσδυση της κίνησης δικτύου και ενδεχομένως την πλευρική μετακίνηση.

"Συνεργαζόμενη με τα θύματα και τους συνεργάτες των υπηρεσιών πληροφοριών, η Cisco αποκάλυψε μια εξελιγμένη αλυσίδα επίθεσης που χρησιμοποιήθηκε για την εμφύτευση προσαρμοσμένου κακόβουλου λογισμικού και την εκτέλεση εντολών σε ένα μικρό σύνολο πελατών", προειδοποίησε η εταιρεία.

Οι ερευνητές της Cisco λένε ότι η τηλεμετρία του δικτύου και οι πληροφορίες από τους συνεργάτες των υπηρεσιών πληροφοριών δείχνουν ότι οι χάκερς ενδιαφέρονται να σκαλίσουν συσκευές δικτύου της Microsoft και άλλων προμηθευτών.

"Ανεξάρτητα από τον πάροχο του δικτυακού σας εξοπλισμού, τώρα είναι η κατάλληλη στιγμή να διασφαλίσετε ότι οι συσκευές είναι σωστά ενημερωμένες, συνδέονται σε μια κεντρική, ασφαλή τοποθεσία και έχουν ρυθμιστεί ώστε να διαθέτουν ισχυρό, πολλαπλών παραγόντων έλεγχο ταυτότητας (MFA)", δήλωσε η Cisco.

πηγή via DeepL

[BlueChris]

Οκ πάει και αυτή.... Δεν πάμε καλά παιδιά.. Έχει ανέβει πολύ το level..