Devlet destekli bir tehdit aktörü, küresel bir siber casusluk kampanyasında, özel olarak oluşturulmuş iki arka kapıyla hükümet ağlarının çevresini hedeflemek için güvenlik duvarı cihazlarındaki iki Cisco sıfır gün güvenlik açığından yararlandı.
Cisco Talos araştırmacıları, önceden bilinmeyen bir aktörün “ArcaneDoor” olarak adlandırılan ve Cisco Talos araştırmacılarının UAT4356 olarak takip ettiği kampanyanın, en az Aralık 2023’ten bu yana birçok Cisco müşterisinin Cisco Adaptive Security Appliance (ASA) güvenlik duvarı cihazlarını hedef aldığını belirtiyor. açıklığa kavuşmuş bir blog yazısında.
Aktörün ilk erişim vektörü bilinmemekle birlikte, gerçekleştiğinde UAT4356, iki güvenlik açığından yararlanılmasını içeren “karmaşık bir saldırı zinciri” kullandı; bir hizmet reddi kusuru şu şekilde izlendi: CVE-2024-20353 ve şu şekilde izlenen kalıcı bir yerel yürütme hatası: CVE-2024-20359 o zamandan beri var yamalı — küçük bir Cisco müşteri grubuna kötü amaçlı yazılım yerleştirmek ve komutları yürütmek. Cisco Talos ayrıca ASA’daki üçüncü bir kusuru da işaretledi. CVE-2024-20358ArcaneDoor kampanyasında kullanılmadı.
Araştırmacılar ayrıca, aktörün Microsoft ve diğer satıcıların cihazlarına ilgi duyduğuna ve potansiyel olarak saldıracağına dair kanıtlar da buldu; bu da kuruluşların tüm çevre cihazlarının “düzgün bir şekilde yamalandığından, merkezi, güvenli bir konumda oturum açtığından ve güçlü ağlara sahip olacak şekilde yapılandırıldığından” emin olmasını hayati önem taşıyor. çok faktörlü kimlik doğrulama (MFA),” diye yazdı Cisco Talos.
Küresel Hükümetler için Özel Arka Kapı Kötü Amaçlı Yazılımları
Kampanyadaki şüpheli faaliyetin ilk işareti, bir müşterinin ASA güvenlik duvarı cihazlarıyla ilgili güvenlik endişeleri hakkında Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) ve Cisco Talos’a ulaşmasıyla 2024’ün başlarında geldi.
Cisco ve istihbarat ortakları tarafından yürütülen birkaç ay süren bir araştırma, tehdit aktörleri tarafından kontrol edilen ve geçmişi Kasım 2023’ün başına kadar uzanan altyapıyı ortaya çıkardı. Tümü dünya çapında hükümet ağlarını hedef alan saldırıların çoğu, Aralık ile Ocak başı arasında gerçekleşti. Microsoft’un da şu anda STORM-1849 olarak takip ettiği aktörün geçen Temmuz gibi erken bir tarihte yeteneğini test ettiğine ve geliştirdiğine dair kanıtlar da mevcut.
Kampanyanın birincil yükleri, UAT4356 tarafından ağda yapılandırma ve değişiklik gibi kötü amaçlı faaliyetler yürütmek için birlikte kullanılan iki özel arka kapıdır (“Line Dancer” ve “Line Runner”); keşif; ağ trafiğini yakalama/dışarı çıkarma; ve potansiyel olarak yanal hareket.
Line Dancer, rakiplerin rastgele kabuk kodu verilerini yüklemesine ve yürütmesine olanak tanıyan, bellekte yerleşik bir kabuk kodu yorumlayıcısıdır. Kampanyada Cisco Talos, kötü amaçlı yazılımın bir ASA cihazında çeşitli komutları yürütmek için kullanıldığını gözlemledi; bunlar arasında sistem günlüğünün devre dışı bırakılması; komut gösterisi yapılandırmasını çalıştırma ve dışarı çıkarma; paket yakalamaları oluşturma ve sızdırma; ve diğer etkinliklerin yanı sıra kabuk kodunda bulunan komutların yürütülmesi.
Bu arada Line Runner, Cisco’ya göre CVE-2024-20359 olarak kullanılabilen, önyükleme sırasında VPN istemcilerinin ve eklentilerin cihaza önceden yüklenmesine izin veren eski bir yetenekle ilgili işlevselliği kullanan ASA cihazında konuşlandırılan bir kalıcılık mekanizmasıdır. Talos. En az bir vakada tehdit aktörü, bu süreci kolaylaştırmak için CVE-2024-20353’ü de kötüye kullandı.
Araştırmacılara göre “Saldırganlar, hedef ASA cihazının yeniden başlatılmasına neden olmak için bu güvenlik açığından yararlanarak Line Runner’ın sıkıştırılmasının açılmasını ve kurulmasını tetiklediler.”
Çevreyi Siber Saldırganlardan Koruyun
Bir kuruluşun iç ağı ile İnternet arasındaki sınırda bulunan çevre cihazları, “casusluk odaklı kampanyalar için mükemmel bir izinsiz giriş noktasıdır”. tehdit aktörleri Cisco Talos’a göre “doğrudan bir kuruluşa bağlanmak, trafiği yeniden yönlendirmek veya değiştirmek ve ağ iletişimlerini güvenli ağda izlemek için bir dayanak kazanmanın bir yolu.
Sıfır gün MITRE ATT&CK test firmasının Rakip Araştırma Ekibi bölüm başkanı Andrew Costis, bu cihazların özellikle çekici bir saldırı yüzeyi olduğunu belirtiyor. SaldırıIQ.
“Tüm ana akım güvenlik cihazları ve yazılımlarında kritik sıfır ve n günlük güvenlik açıklarının istismar edildiğini defalarca gördük” diyor ve cihazlardaki hatalara yönelik daha önceki saldırılara dikkat çekiyor. Ivanti, Palo Alto Ağlarıve diğerleri.
Cisco Talos’a göre, bu cihazlara yönelik tehdit, kuruluşların güncel donanım ve yazılım sürümlerini ve yapılandırmalarını kullanarak “rutin ve hızlı” şekilde yama yapmaları ve aynı zamanda bunların güvenliğini yakından izlemeleri gerektiğini vurguluyor.
Costis, kuruluşların ayrıca tehdit aktörlerinin uzlaşma sonrası TTP’lerine odaklanması ve savunma ağı operasyonlarına yönelik “katmanlı bir yaklaşımın” parçası olarak bilinen düşman davranışlarını test etmesi gerektiğini söylüyor.
ArcaneDoor Siber Saldırı Etkinliğini Tespit Etme
Müşterilerin ArcaneDoor tarafından hedef alındıklarından şüphelenmeleri durumunda arayabilecekleri güvenlik ihlali göstergeleri (IoC’ler), ASA cihazlarından blogda yer alan IOC listesinde bulunan herhangi bir IP adresine giden/bu cihazlardan gelen tüm akışları içerir.
Kuruluşlar ayrıca başka bir IOC’yi tanımlamak için “bellek bölgesini göster | lina’yı dahil et” komutunu da verebilir. Cisco Talos, “Çıktı birden fazla çalıştırılabilir bellek bölgesini gösteriyorsa… özellikle de bu bellek bölümlerinden biri tam olarak 0x1000 bayt ise, bu potansiyel bir kurcalamanın işaretidir” diye yazdı.
Cisco, ağ yöneticilerinin, yama uygulandıktan sonra bir ASA cihazındaki ArcaneDoor kalıcılık arka kapısı Line Runner’ı tanımlayıp kaldırmak için uygulayabilecekleri iki adım seti sağladı. Bunlardan ilki disk0’ın içeriğinin gözden geçirilmesidir; diskte yeni bir dosya (örneğin, “client_bundle_install.zip” veya başka herhangi bir olağandışı .zip dosyası) görünürse, bu, Line Runner’ın mevcut olduğu ancak güncelleme nedeniyle artık etkin olmadığı anlamına gelir.
Yöneticiler ayrıca, yeniden başlatma sırasında ASA tarafından okunacak, .zip uzantılı zararsız bir dosya oluşturacak bir dizi komutu da izleyebilir. Disk0’da görünüyorsa bu, muhtemelen söz konusu cihazda Line Runner’ın mevcut olduğu anlamına gelir. Yöneticiler daha sonra arka kapıyı kaldırmak için “client_bundle_install.zip” dosyasını silebilir.
Yöneticiler ASA cihazlarında yeni oluşturulmuş bir .zip dosyası bulurlarsa bu dosyayı cihazın dışına kopyalamalı ve e-posta ile göndermelidirler [email protected] CVE-2024-20359’a bir referans kullanarak ve aygıttaki “dir disk0:” ve “sürüm göster” komutlarının çıktılarının yanı sıra çıkardıkları .zip dosyasını da dahil ederek.