ArcaneDoor: Cisco ranjivosti
ArcaneDoor je kampanja sajber napada koja cilja Cisco Adaptive Security Appliances – ASA kroz ranije nepoznate ranjivosti (CVE-2024-20353, CVE-2024-20358 i CVE-2024-20359). Napadači, za koje se vjeruje da su grupe koje sponzoriše država (eng. Advanced persistent threat – APT) UAT4356 ili STORM-1849, dobili su pristup vladinim objektima širom sveta iskorišćavanjem ovih ranjivosti. Kampanja je počela u novembru 2023. godine i dostigla vrhunac od decembra 2023. godine do januara 2024. godine kada je identifikovana prva žrtva.
ARCANEDOOR KAMPANJA
Kampanja ArcaneDoor je sajber napad koji su izveli hakeri sponzorisani od strane države koji su iskoristili dvije ranjivosti nultog dana u Cisco zaštitnim zidovima između kraja 2023. godine i početka 2024. godine. Ovaj napad je bio usmjeren na vladine mreže širom sveta, demonstrirajući napredne anti-forenzičke mogućnosti i postojanost zasnovanu na HTTP protokolu.
Kampanja je počela kada su napadači identifikovali i iskoristili dvije ranije nepoznate ranjivosti (nultog dana) u Cisco zaštitnim zidovima. Riječ je o perimetarskim mrežnim uređajima koji su posebno privlačne mete za špijunske aktere, jer obezbjeđuju direktnu tačku upada u osjetljive mreže. Ove ranjivosti su im omogućile da steknu uporište na ciljanim uređajima i uspostave trajno prisustvo, omogućavajući dalji upad u osjetljive mreže. Prvi izvještaji o ovoj aktivnosti pojavili su se oko decembra 2023. godine, ali se vjeruje da je kampanja počela nekoliko mjeseci ranije.
Kao što je već rečeno, zlonamjerni softver ArcaneDoor pokazao je napredne anti-forenzičke sposobnosti da izbjegne otkrivanje i pripisivanje. Modifikovao je jezgro dump funkcije, onemogućio evidentiranje i zakačio se na procese autentifikacije da bi sakrio svoje aktivnosti. Ove operativne bezbjednosne mjere, u kombinaciji sa upotrebom namjenskih implantata i vezanim ranjivostima nultog dana, snažno su sugerisale da je u pitanju zlonamjerni akter koji sponzoriše država – APT.
“Naša procjena pripisivanja zasnovana je na viktimologiji, značajnom nivou specifičnog znanja koje se koristi u smislu razvoja sposobnosti i anti-forenzičkih mjera, i identifikaciji i naknadnom povezivanju ranjivosti nultog dana. Iz ovih razloga, sa velikim povjerenjem ocjenjujemo da je ove radnje izvršio akter koji je sponzorisala država.”
– Cisco Talos security team –
Primarni cilj napadača je bio da dobiju pristup kritičnim sistemima, omogućavajući im da krenu dublje u organizaciju i nadgledaju mrežne komunikacije ili preusmjere saobraćaj po potrebi. Kampanja je naglasila važnost održavanja ažuriranih verzija i konfiguracija hardvera i softvera za perimetarske uređaje i pažljivog praćenja njihove bezbjednosti iz proaktivne perspektive. Pored toga, kampanja ArcaneDoor predstavlja jedan od mnogih tekućih napora državno sponzorisanih hakera da iskoriste ranjivosti u kritičnoj infrastrukturi, pokazujući potrebu za kontinuiranom budnošću i snažnim mjerama sajber bezbjednosti za zaštitu od takvih prijetnji.
RANJIVOSTI
U ovo kampanji, zlonamjerni akteri su koristili ranjivosti nultog dana da bi dobili pristup Cisco ASA uređajima u svrhe špijunaže. Ove ranjivosti nisu korišćene za početni pristup, već su umjesto toga omogućile napadačima da instaliraju prilagođeni zlonamjerni softver i održavaju postojanost tokom ponovnog pokretanja uređaja. Dok je vektor napada koji se koristi za obezbjeđivanje početnog pristupa napadačima i dalje nepoznat, kompanija Cisco je pružila detalje o specifičnim ranjivostima korišćenim tokom kampanje:
CVE-2024-20353
Ova ranjivost je označena kao kritična sa CVSS ocjenom od 8.6 od mogućih 10 i utiče na upravljanje i VPN internet servere u Cisco ASA FTD softveru. Neovlašteni udaljeni napadač može da iskoristi ovu ranjivost da izazove neočekivano ponovno učitavanje uređaja, što dovodi do stanja uskraćivanja usluge (DoS). To znači da napadač izvan mreže može potencijalno učiniti da pogođeni Cisco uređaj prestane ispravno da funkcioniše tako što će iskoristiti ovu slabost.
CVE-2024-20358
Ova ranjivost je nedostatak ubrizgavanja komande u Cisco ASA FTD softveru i kod CVE-2024-20353 i CVE-2024-20359. Otkrivena je tokom internog bezbjednosnog testiranja, ima CVSS ocjenu 6,0 i omogućava napadaču da ubrizga komande u pogođeni sistem sa privilegijama na root nivou. Međutim, važno je napomenuti da se ova ranjivost ne koristi aktivno kao dio kampanje ArcaneDoor.
CVE-2024-20359
Ova ranjivost postojana greška u izvršavanju lokalnog kôda u Cisco ASA FTD softveru. Omogućava autentifikovanom, lokalnom napadaču da izvrši proizvoljan kôd sa privilegijama na root nivou. Potrebne su privilegije na nivou administratora da bi se iskoristila ova ranjivost, što znači da napadač mora imati važeći pristup sistemu da bi ga iskoristio. Ranjivost je identifikovana kao dio ove kampanje i aktivno se koristi od početka januara 2024. godine.
ZLONAMJERNI IMPLANTI
Ranjivost CVE-2024-20353 i CVE-2024-20359 koje se aktivno iskorištavaju su omogućile zlonamjernim akterima da primjene ranije nepoznati zlonamjerni softver i održe upornost na kompromitovanim ASA i FTD uređajima.
Line Dancer
Ovo je prvi zlonamjerni implant koji koriste zlonamjerni akteri i predstavlja sofisticirani dio softvera za sajber špijunažu koji je postavio zlonamjerni APT akter pod nazivom UAT4356, takođe poznat kao STORM-1849. Ovaj zlonamjerni softver je prvi put identifikovan početkom 2024. godine kada je Cisco Talos primio izvještaje od korisnika o sumnjivim aktivnostima na njihovim Cisco ASA uređajima.
Line Dancer je dizajniran da pruži napadačima strateški pristup za špijunažu manipulisanjem perimetarskim mrežnim uređajima, kao što su Cisco ASA. Zlonamjerni softver omogućava napadačima da preusmjere ili nadgledaju mrežni saobraćaj bez prethodne autentifikacije, što ga čini efikasnim alatom za aktivnosti sajber špijunaže. Zlonamjerni softver Line Dancer se primjenjuje pomoću dvije ranjivosti nultog dana (CVE-2024-20353 i CVE-2024-20359) koje su napadači koristili od novembra 2023. godine.
Jednom instaliran, Line Dancer koristi tehniku koja se zove “interpretator komandnog okruženja u memoriji” za izvršavanje proizvoljnih komandi direktno na uređaju. Ovaj metod izbjegava ostavljanje forenzičkih tragova i komplikuje otkrivanje, jer nema datoteka ili procesa povezanih sa zlonamjernim softverom. Napadači mogu da iskoriste ovu sposobnost za obavljanje različitih radnji kao što su eksfiltracija podataka, izviđanje i bočno kretanje unutar mreže.
Line Runner
Drugi implant koji zlonamjerni akteri koriste je Line Runner i on je vrsta backdoor zlonamjernog softvera kao dio kampanje ArcaneDoor. Napadači koriste ovaj implant za održavanje postojanosti na kompromitovanim sistemima.
Line Runner je sofisticirani zlonamjerni implant koji je posebno dizajniran za mrežne uređaje, što ga čini izazovnim za razvoj zbog ograničenja proizvođača direktnom pristup operativnom sistemu i sistemu datoteka. Napadači su morali da sprovedu opsežan razvojni ciklus i koriste napredne tehničke vještine da bi kreirali ovaj prilagođeni zlonamjerni softver. Primarna funkcija Line Runner zlonamjernog softvera je da obezbijedi backdoor za daljinski pristup, omogućavajući napadačima da izvršavaju komande na kompromitovanim sistemima po želji. Ova vrsta trajnog pristupa omogućava zlonamjernim akterima da sprovode različite aktivnosti kao što su eksfiltracija podataka, izviđanje i dalja eksploatacija.
Proces instalacije zlonamjernog softvera je složen i uključuje nekoliko koraka: Prvo, napadači dodaju komande u /etc/init.d/unmountfs skriptu koja je jedna od posljednjih skripti pokrenutih pre ponovnog pokretanja uređaja. Ove komande kopiraju Line Runner ZIP datoteku sa administrativno nedostupne lokacije na disk0. Nakon instalacije, Line Runner se briše sa diska da bi izbjegao detekciju i spriječio analizu.
Mogućnosti Line Runner zlonamjernog softvera uključuju:
- Napadači mogu da izvrše proizvoljne komande na kompromitovanim sistemima preko ovog zlonamjernog softvera u pozadini,
- Zlonamjerni softver osigurava da njegovo prisustvo ostane aktivno čak i nakon ponovnog pokretanja uređaja, omogućavajući napadačima da zadrže dugoročan pristup i kontrolu nad uređajem,
- Line Runner je dizajniran da izbjegne detekciju od strane bezbjednosnih rješenja, što otežava organizacijama da identifikuju kompromitovane sisteme u svojim mrežama,
- Zlonamjerni softver se može prilagoditi na osnovu specifičnih ciljeva ili zahteva, omogućavajući napadačima da prilagode implant kako bi efikasno odgovarao njihovim ciljevima.
ZAKLJUČAK
Kampanja ArcaneDoor je sofisticirana i stalna prijetnja sajber bezbjednosti koja cilja perimetarske mrežne Cisco ASA uređaje. Inicijalni vektor pristupa za ovu kampanju ostaje nepoznat, ali ono što se zna je da nacionalno sponzorisani hakeri i finansijski motivisane grupe iskorištavaju ili poznate ili ranjivosti nultog dana u ovim uređajima da bi dobili početni pristup, kretali se bočno unutar mreža i eksfiltrirati podatke. Korištenje višestrukih ranjivosti nultog dana sugeriše visok nivo sofisticiranosti i planiranja od strane zlonamjernog aktera. Za sada se vjeruje da su zlonamjerni akteri koji stoje iza ove kampanje sponzorisani od strane države, iako nije potvrđeno koju državu predstavljaju.
Istraga o kampanji ArcaneDoor je podsjetnik da se prijetnje po sajber bezbjednost stalno razvijaju i da organizacije moraju ostati budne kako bi bile ispred napadača. Informisanjem o novim prijetnjama i primjenom snažnih bezbjednosnih mjera, organizacije mogu da smanje rizik da postanu meta i da smanje uticaj bilo kakvog potencijalnog ugrožavanja poslovanja ili podataka.
“Perimetarski mrežni uređaji su savršena tačka upada za kampanje fokusirane na špijunažu. Kao kritičan put za podatke u mrežu i van nje, ovi uređaji moraju biti rutinski i brzo zakrpljeni; korištenjem najnovijih verzija i konfiguracija hardvera i softvera; i pažljivo praćeni iz bezbjednosne perspektive. Sticanje uporišta na ovim uređajima omogućava akteru da se direktno centrira u organizaciju, preusmjeri ili modifikuje saobraćaj i nadgleda mrežne komunikacije.”
– Cisco Talos security team –
ZAŠTITA
Da bi se zaštiti od prijetnji kao što je ArcaneDoor, korisnici i organizacije mogu preduzeti sljedeće korake:
- Održavati mrežnu opremu ažurnom sa najnovijim bezbjednosnim ispravkama i ažuriranjima softvera. U ovom slučaju, Cisco je objavio bezbjednosne ispravke kako bi popravio dvije ranjivosti nultog dana koje je iskoristio ArcaneDoor. Instaliranje ovih ažuriranja je ključno za zaštitu ASA uređaja od potencijalnih napada,
- Implementacija snažnih mehanizama autentifikacije kao što je autentifikaciju u više koraka (eng. multi-factor authentication – MFA) na svu mrežnu opremu i kritične sisteme. Ovo dodaje dodatni sloj bezdušnosti, što otežava napadačima da dobiju neovlašteni pristup čak i ako uspiju da iskoriste ranjivost,
- Redovno nadgledanje sistemske evidencije za bilo kakve znake neplaniranih ponovnog pokretanja, neovlaštene promjene konfiguracije ili sumnjive aktivnosti akreditiva. Anomalno ponašanje u datotekama evidencije može ukazivati na pokušaj upada i trebalo bi da se odmah istraži,
- Omogućiti evidentiranje na svim mrežnim uređajima i osigurajte da se evidencije šalju na centralnu, bezbjednu lokaciju gdje se mogu efikasno analizirati. Ovo će pomoći da se efikasnije otkriju potencijalne prijetnje i odgovori na njih,
- Implementirati smjernice kontrole pristupa koje ograničavaju koji uređaji ili korisnici imaju dozvolu da izvrše određene promjene konfiguracije u okruženju. Ograničavanjem pristupa kritičnim funkcijama smanjuje se površina napada za potencijalne zlonamjerne aktere,
- Redovno pregledati i ažurirajte bezbjednosne politike mreže kako bi se osiguralo da su usklađene sa trenutnim prijetnjama i najboljim praksama. Ovo uključuje efikasno konfigurisanje zaštitnih zidova, sistema za otkrivanje upada (IDS) i drugih bezbjednosnih kontrola,
- Redovno vršiti edukaciju korisnika o phishing napadima i taktikama društvenog inženjeringa koje bi se mogle koristiti za dobijanje početnog pristupa sistemu ili mreži. Ljudski faktor je često najslabija karika u bilo kojoj bezbjednosnoj strategiji, tako da ulaganje vremena i resursa u obuku o svijesti korisnika može da donese značajnu korist tokom vremena,
- Primijeniti strategije segmentacije mreže kako bi se ograničilo širenje prijetnji unutar okruženja. Izolovanjem kritičnih sistema od manje osjetljivih oblasti, smanjuje se potencijalni uticaj uspješnog napada na poslovanje organizacije,
- Biti informisan o novim prijetnjama i ranjivostima u industriji ili sektoru tako što ćete se pratiti relevantne bezbjednosne liste elektronske pošte, pratiti pouzdane izvore vesti o sajber bezbjednosti i sarađivati sa kolegama i stručnjacima u zajednici. Ovo će pomoći da se ostane ispred potencijalnih opasnosti kada su u pitanju nove prijetnje i doprinijeti boljoj pripremljenosti za odbranu od istih.