【弱點說明】事件通告:Cisco Talos 已發現針對影響 CISCO ASA VPN 的網路活動
【影響範圍】
- Cisco ASA 9.20.2.10之前版本
- Cisco ASA 9.18.4.22之前版本
- Cisco ASA 9.16.4.57之前版本
【細節描述】
Cisco旗下的資安公司Cisco Talos周三(4/24)揭露了一場由國家級駭客UAT4356(Storm-1849)所發起的攻擊行動ArcaneDoor,此一行動利用了兩個位於Cisco Adaptive Security
Appliances(ASA)軟體中的0-day漏洞發動攻擊,並於受害者網路中植入後門,以進行間諜活動,加拿大網路安全中心也在同一天發出了警告。
根據Cisco Talos的描述,該公司是在今年初收到客戶的回報,表示於ASA裝置上察覺到可疑活動,進一步的調查則發現,駭客在2023年7月即開始開發與測試相關攻擊,並於同年11月建立了攻擊基礎設施,大多數的攻擊活動出現在2023年12月至2024年1月間。
駭客所利用的是位於ASA軟體及Firepower Threat Defense(FTD)軟體中的兩個0-day漏洞,其中的CVE-2024-20353主要藏匿在管理及VPN網頁伺服器上,在解析HTTP標頭時因錯誤檢查不完整所造成,駭客只要傳送一個特製的HTTP請求至裝置上的相關伺服器,就可能在裝置重新載入時導致服務阻斷。
另一個CVE-2024-20359漏洞同樣位於ASA與FTD軟體中,存在於允許預先載入VPN用戶端與外掛程式的老舊功能中,取得授權的本地端駭客將得以最高權限執行任意程式,但駭客需要取得管理員等級的權限才能利用此一漏洞。
UAT4356利用上述兩個漏洞於受害系統上部署了兩個後門程式Line Dancer與Line Runner,其中,Line Dancer是一個進駐於記憶體中的Shellcode解釋器,可讓駭客上傳並執行任意的Shellcode;Line Runner則是一個持久性的後門,允許駭客上傳及執行任意的Lua腳本程式,在系統重新啟動及升級後仍會存在。在部署Line
Dancer與Line Runner之後,UAT4356即可於受害系統中展開各種惡意行動,包括變更配置,執行偵察,捕獲或汲取網路流量,以及潛在的橫向移動。
加拿大網路安全中心則說,今年初該組織便與澳洲及英國的網路安全中心合作,發現思科的ASA裝置、ASA55xx系列,以及ASA 9.12/ASA 9.14軟體已遭駭客危害,駭客藉由WebVPN會話成功地建立了未經授權的存取,通常與Clientless SSLVPN服務有關。在駭客成功進駐受害網路後,將能製造裝置配置檔案的文字版,以透過網路請求來汲取,也能控制裝置日誌服務的啟用與停用來混淆其它的命令,還能修改身分驗證、授權及用量計算(Authentication, Authorization and Accounting,AAA)配置,以便取得於受害環境中的存取能力。
Cisco已修補了上述兩個安全漏洞,指出修補程式雖然能抑制Line Runner的活動,但Line Runner依然存在於受害系統上,建議用戶妥善修補裝置,登入至安全位置,以及採用強大的多因素身分驗證機制。
【建議措施】
請參考Cisco官網的說明及處理建議
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response 建議所有客戶升級至修復後版本 客戶可以使用下列步驟來驗證其 Cisco ASA 或 FTD 設備的完整性:
1.登入可疑設備 CLI。
注意:在執行 Cisco FTD 軟體的裝置上,使用system support Diagnostic-cli指令變更為 Cisco ASA CLI。
2.使用enable指令變更為特權執行模式。
注意:在執行 Cisco FTD 軟體的裝置上,啟用密碼為空。
3.收集以下命令的輸出:
顯示版本驗證/SHA-512系統:記憶/文本調試選單記憶體 8
4.向思科技術支援中心 (TAC)提出案例。在本例中,引用關鍵字ArcaneDoor並上傳在步驟 3 中收集的資料。 |