Cisco: hackers patrocinados exploram 2 Vulnerabilidades

Recentemente, uma campanha de malware explorou duas falhas de dia zero nos equipamentos de rede da Cisco. Essa campanha, chamada de ArcaneDoor, foi atribuída a um sofisticado ator patrocinado pelo estado, anteriormente desconhecido, rastreado sob o nome UAT4356 (também conhecido como Storm-1849 pela Microsoft).

“O UAT4356 implantou dois backdoors como parte dessa campanha: o “Line Runner” e o “Line Dancer”. Esses backdoors foram usados em conjunto para realizar ações maliciosas nos alvos, incluindo modificação de configuração, reconhecimento, captura/exfiltração de tráfego de rede e possível movimentação lateral,” Talos disse.

Essas intrusões foram detectadas e confirmadas no início de janeiro de 2024 e envolvem a exploração de duas vulnerabilidades específicas:

CVE-2024-20353 (pontuação CVSS: 8,6): Vulnerabilidade de negação de serviço nos serviços da Web do Cisco Adaptive Security Appliance e no software Firepower Threat Defense.

CVE-2024-20359 (pontuação CVSS: 6,0): Vulnerabilidade persistente de execução de código local no Cisco Adaptive Security Appliance e no software Firepower Threat Defense.
Essa campanha destaca a importância contínua de manter sistemas atualizados e protegidos contra ameaças cibernéticas.

O caminho de acesso inicial exato usado para violar os dispositivos é atualmente desconhecido, embora se diga que o UAT4356 iniciou os preparativos para isso já em julho de 2023.

Uma posição bem-sucedida é seguida pela implantação de dois implantes chamados Line Dancer e Line Runner, o primeiro dos quais é um backdoor na memória que permite aos invasores fazer upload e executar cargas úteis de shellcode arbitrárias, incluindo a desativação de logs do sistema e a exfiltração de capturas de pacotes.

Ainda não se sabe exatamente qual foi o método de acesso inicial usado para comprometer os dispositivos, mas há indícios de que o UAT4356 começou a preparar essa invasão já em julho de 2023.

Após obter acesso, o atacante implantou dois componentes chamados Line Dancer e Line Runner. O Line Dancer é um backdoor na memória que permite ao invasor fazer upload e executar cargas úteis de shellcode, incluindo a desativação dos logs do sistema e a exfiltração de capturas de pacotes.

Por outro lado, o Line Runner é um implante persistente baseado em Lua e acessado via HTTP, instalado nos dispositivos Cisco Adaptive Security Appliance (ASA). Ele aproveita as vulnerabilidades de dia zero mencionadas anteriormente para sobreviver a reinicializações e atualizações. Observou-se que o Line Runner é usado para buscar informações previamente preparadas pelo Line Dancer.

De acordo com um aconselhamento conjunto publicado por agências de segurança cibernética da Austrália, Canadá e Reino Unido, suspeita-se que o Line Runner possa estar presente em um dispositivo comprometido, mesmo que o Line Dancer não esteja. Isso pode ocorrer, por exemplo, como um backdoor persistente ou quando um ASA impactado ainda não recebeu atenção operacional total dos atores maliciosos.

Cisco Talos

Durante todas as fases do ataque, o UAT4356 demonstrou atenção meticulosa ao esconder pegadas digitais e a capacidade de empregar métodos intrincados para escapar da análise forense da memória, reduzindo as chances de detecção. Essa sofisticação e natureza evasiva sugerem que os atores da ameaça têm uma compreensão completa do funcionamento interno do próprio ASA e das ações forenses comumente executadas pela Cisco para validação da integridade dos dispositivos de rede.

A autoria exata por trás do ArcaneDoor ainda não está clara, mas há evidências de que hackers apoiados pelos estados chinês e russo já atacaram roteadores da Cisco no passado para fins de espionagem cibernética. O Cisco Talos também não especificou quantos clientes foram comprometidos nesses ataques.

Esse desenvolvimento destaca o aumento do direcionamento a dispositivos e plataformas de ponta, como servidores de e-mail, firewalls e VPNs. Esses dispositivos geralmente não possuem soluções de detecção e resposta de endpoint (EDR), como evidenciado pela recente série de ataques direcionados a empresas como Barracuda Networks, Fortinet, Ivanti, Redes Palo Alto e VMware.

Segundo o Talos, os dispositivos de rede perimetral são pontos de entrada ideais para campanhas de espionagem. Para protegê-los, é essencial aplicar correções regularmente, usar versões atualizadas de hardware e software, e monitorá-los de perto em termos de segurança. Esses dispositivos podem permitir que um ator malicioso entre diretamente em uma organização, redirecione ou modifique o tráfego e monitore as comunicações da rede.