Cisco bugün, devlet destekli bir bilgisayar korsanlığı grubunun, Kasım 2023’ten bu yana dünya çapındaki hükümet ağlarını ihlal etmek için Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) güvenlik duvarlarındaki iki sıfır gün güvenlik açığından yararlandığı konusunda uyardı.
Cisco Talos tarafından UAT4356 ve Microsoft tarafından STORM-1849 olarak tanımlanan bilgisayar korsanları, ArcaneDoor olarak takip edilen bir siber casusluk kampanyasıyla Kasım 2023’ün başlarında savunmasız uç cihazlara sızmaya başladı.
Cisco ilk saldırı vektörünü henüz tanımlamamış olsa da, tehdit aktörlerinin sıfır gün olarak kullandığı iki güvenlik açığını (CVE-2024-20353 (hizmet reddi) ve CVE-2024-20359 (kalıcı yerel kod yürütme)) keşfetti. bu saldırılar.
Cisco, Ocak 2024’ün başlarında ArcaneDoor kampanyasından haberdar oldu ve saldırganların en az Temmuz 2023’ten bu yana iki sıfır günü hedef almak için açıkları test edip geliştirdiğine dair kanıtlar buldu.
Arka kapı Cisco güvenlik duvarlarından yararlanıldı
Bu iki güvenlik açığı, tehdit aktörlerinin önceden bilinmeyen kötü amaçlı yazılımları dağıtmasına ve güvenliği ihlal edilmiş ASA ve FTD cihazlarında kalıcılığı korumasına olanak tanıdı.
Kötü amaçlı yazılım implantlarından biri olan Line Dancer, günlüğe kaydetmeyi devre dışı bırakmak, uzaktan erişim sağlamak ve yakalanan paketleri sızdırmak için rastgele kabuk kodu yüklerinin teslim edilmesine ve yürütülmesine yardımcı olan bir bellek içi kabuk kodu yükleyicisidir.
Line Runner adlı kalıcı bir arka kapı olan ikinci implant, tespit edilmeyi önlemek için birden fazla savunma kaçınma mekanizmasıyla birlikte gelir ve saldırganların, saldırıya uğrayan sistemlerde keyfi Lua kodu çalıştırmasına olanak tanır.
Cisco, “Bu aktör, casusluğa net bir şekilde odaklandığını ve hedefledikleri cihazlar hakkında derinlemesine bilgi sahibi olduğunu gösteren özel araçlardan yararlandı; bu, gelişmiş devlet destekli bir aktörün ayırt edici özellikleridir” dedi.
“UAT4356, bu harekâtın bileşenleri olarak ‘Line Runner’ ve ‘Line Dancer’ adlı iki arka kapıyı konuşlandırdı; bunlar, yapılandırma değişikliği, keşif, ağ trafiğini yakalama/sızma ve potansiyel olarak yanal hareket dahil olmak üzere hedefe yönelik kötü niyetli eylemler gerçekleştirmek için toplu olarak kullanıldı. “
Cisco, müşterilerini yükseltmeye çağırıyor
Şirket, iki sıfır günü düzeltmek için Çarşamba günü güvenlik güncellemeleri yayınladı ve artık tüm müşterilere, gelen saldırıları engellemek için cihazlarını sabit yazılıma yükseltmelerini “şiddetle tavsiye ediyor”.
Cisco yöneticilerinin ayrıca planlanmamış yeniden başlatmalar, yetkisiz yapılandırma değişiklikleri veya şüpheli kimlik bilgisi etkinliklerine ilişkin herhangi bir işarete karşı sistem günlüklerini izlemeleri “şiddetle teşvik edilir”.
Şirket, “Ağ ekipmanı sağlayıcınız ne olursa olsun, artık cihazların düzgün şekilde yamalandığından, merkezi, güvenli bir konumda oturum açtığından ve güçlü, çok faktörlü kimlik doğrulamaya (MFA) sahip olacak şekilde yapılandırıldığından emin olmanın zamanı geldi” diye ekledi.
Cisco ayrıca bu danışma belgesinde ASA veya FTD cihazlarının bütünlüğünü doğrulamaya ilişkin talimatlar da sağlar.
Bu ayın başlarında Cisco, dünya çapında Cisco, CheckPoint, Fortinet, SonicWall ve Ubiquiti cihazlarındaki VPN ve SSH hizmetlerini hedef alan büyük ölçekli kaba kuvvet saldırıları konusunda uyardı.
Mart ayında ayrıca Cisco Güvenli Güvenlik Duvarı cihazlarında yapılandırılmış Uzaktan Erişim VPN (RAVPN) hizmetlerini hedef alan parola püskürtme saldırılarının azaltılmasına ilişkin kılavuz da paylaşıldı.