SK-CERT Bezpečnostné varovanie V20240425-01

25. apríla 2024

Dôležitosť	Vysoká
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	8.6

Identifikátor

Cisco ASA a FTD – aktívne zneužívané bezpečnostné zraniteľnosti

Popis

Spoločnosť Cisco Talos Intelligence Group upozorňuje na aktívne zneužívanie dvoch bezpečnostných zraniteľností (z celkového počtu troch odhalených) v produktoch Cisco Adaptive Security Appliance (ASA) a Firepower Threat Defense (FTD). Zreťazenie zraniteľností útočníkom umožnuje na zasiahnutých zariadeniach implantovať malvér, dosiahnuť perzistenciu a exfiltrovať citlivé údaje. Cisco kampaň označila názvom ArcaneDoor a na základe sofistikovanosti použitých taktík, techník a postupov útočníka ju atribuuje bližšie nešpecifkovanej štátom sponzorovanej hackerskej skupine. Na predmetné zraniteľnosti sú v súčasnosti dostupné bezpečnostné aktualizácie a taktiež Proo-of-Concept kód demoštrujúci návod na ich zneužitie.
Najzávažnejšia bezpečnostná zraniteľnosť s identifikátorom CVE-2024-20353 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky spôsobiť zneprístupnenie služby.
Zneužitím ostatných bezpečnostných zraniteľností by lokálny autentifikovaný útočník mohol eskalovať svoje privilégiá a vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

25.4.2024

CVE

CVE-2024-20353,CVE-2024-20358,CVE-2024-20359

IOC

Actor-Controlled Infrastructure: 192.36.57[.]181
Actor-Controlled Infrastructure: 185.167.60[.]85
Actor-Controlled Infrastructure: 185.227.111[.]17
Actor-Controlled Infrastructure: 176.31.18[.]153
Actor-Controlled Infrastructure: 172.105.90[.]154
Actor-Controlled Infrastructure: 185.244.210[.]120
Actor-Controlled Infrastructure: 45.86.163[.]224
Actor-Controlled Infrastructure: 172.105.94[.]93
Actor-Controlled Infrastructure: 213.156.138[.]77
Actor-Controlled Infrastructure: 89.44.198[.]189
Actor-Controlled Infrastructure: 45.77.52[.]253
Actor-Controlled Infrastructure: 103.114.200[.]230
Actor-Controlled Infrastructure: 212.193.2[.]48
Actor-Controlled Infrastructure: 51.15.145[.]37
Actor-Controlled Infrastructure: 89.44.198[.]196
Actor-Controlled Infrastructure: 131.196.252[.]148
Actor-Controlled Infrastructure: 213.156.138[.]78
Actor-Controlled Infrastructure: 121.227.168[.]69
Actor-Controlled Infrastructure: 213.156.138[.]68
Actor-Controlled Infrastructure: 194.4.49[.]6
Actor-Controlled Infrastructure: 185.244.210[.]65
Actor-Controlled Infrastructure: 216.238.75[.]155
Multi-Tenant Infrastructure: 5.183.95[.]95
Multi-Tenant Infrastructure: 45.63.119[.]131
Multi-Tenant Infrastructure: 45.76.118[.]87
Multi-Tenant Infrastructure: 45.77.54[.]14
Multi-Tenant Infrastructure: 45.86.163[.]244
Multi-Tenant Infrastructure: 45.128.134[.]189
Multi-Tenant Infrastructure: 89.44.198[.]16
Multi-Tenant Infrastructure: 96.44.159[.]46
Multi-Tenant Infrastructure: 103.20.222[.]218
Multi-Tenant Infrastructure: 103.27.132[.]69
Multi-Tenant Infrastructure: 103.51.140[.]101
Multi-Tenant Infrastructure: 103.119.3[.]230
Multi-Tenant Infrastructure: 103.125.218[.]198
Multi-Tenant Infrastructure: 104.156.232[.]22
Multi-Tenant Infrastructure: 107.148.19[.]88
Multi-Tenant Infrastructure: 107.172.16[.]208
Multi-Tenant Infrastructure: 107.173.140[.]111
Multi-Tenant Infrastructure: 121.37.174[.]139
Multi-Tenant Infrastructure: 139.162.135[.]12
Multi-Tenant Infrastructure: 149.28.166[.]244
Multi-Tenant Infrastructure: 152.70.83[.]47
Multi-Tenant Infrastructure: 154.22.235[.]13
Multi-Tenant Infrastructure: 154.22.235[.]17
Multi-Tenant Infrastructure: 154.39.142[.]47
Multi-Tenant Infrastructure: 172.233.245[.]241
Multi-Tenant Infrastructure: 185.123.101[.]250
Multi-Tenant Infrastructure: 192.210.137[.]35
Multi-Tenant Infrastructure: 194.32.78[.]183
Multi-Tenant Infrastructure: 205.234.232[.]196
Multi-Tenant Infrastructure: 207.148.74[.]250
Multi-Tenant Infrastructure: 216.155.157[.]136
Multi-Tenant Infrastructure: 216.238.66[.]251
Multi-Tenant Infrastructure: 216.238.71[.]49
Multi-Tenant Infrastructure: 216.238.72[.]201
Multi-Tenant Infrastructure: 216.238.74[.]95
Multi-Tenant Infrastructure: 216.238.81[.]149
Multi-Tenant Infrastructure: 216.238.85[.]220
Multi-Tenant Infrastructure: 216.238.86[.]24

Zasiahnuté systémy

Cisco ASA
Cisco FTD

Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete prostredníctvom nástroja „Cisco Software Checker“ na webovej adrese https://sec.cloudapps.cisco.com/security/center/softwarechecker.x alebo na odkazoch uvedených v sekcii ZDROJE.

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Eskalácia privilégií
Zneprístupnenie služby
Neoprávnený prístup k citlivým pdajom

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľností. Presný postup pre kontrolu integrity zariadení Cisco ASA a FTD môžete nájsť na webovej stránke výrobcu https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-cmd-inj-ZJV8Wysm
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/

« Späť na zoznam

Dôležité odkazy