Zusammenfassung:
- Drei Zero-Days in zwei Cisco-Firewall-Produkten, der Cisco ASA-Software und der Cisco Firepower Threat Defense (FTD)-Software, wurden im Rahmen einer Untersuchung einer größeren Kampagne von Bedrohungsakteuren entdeckt, die weltweit auf Netzwerkgeräte im Besitz von Regierungen abzielt und bis Januar 2024 zurückreicht.
- Die Kampagne der Bedrohungsakteure mit dem Namen "ArcaneDoor" zielt auf Netzwerkgeräte verschiedener Hersteller ab
- Die identifizierten Zero-Day-Schwachstellen werden als CVE-2024-20353, CVE-2024-20359 und CVE-2024-20358 verfolgt - von diesen wurden nur CVE-2024-20353 und CVE-2024-20359 in der ArcaneDoor-Kampagne ausgenutzt
- Mit Stand vom Montag, 28. April 2024, sieht Censys über 162.735 Hosts mit Cisco Adaptive Security Appliance Software online. Weniger als 10 Firepower Threat Defense Instanzen wurden online beobachtet.
- Knapp ein Drittel aller aufgedeckten Cisco ASA-Geräte wurde in den USA gehostet. Die breitere Verteilung über die Länder zeigt, dass Cisco ASA eine weltweit verbreitete Software ist.
- Während der ursprüngliche Zugriffsvektor, der bei dieser Kampagne genutzt wurde, noch unbekannt ist, hat Cisco eine aktualisierte Software veröffentlicht, um die 3 Zero-Days zu adressieren, und hat in seinem Event-Response-Advisory Schritte für Kunden bereitgestellt, um die Integrität ihrer Cisco Firewall-Geräte zu überprüfen
- Censys Search Abfrage für exponierte Cisco ASA-Geräte: services.software.product="Adaptive Security Appliance"
- Censys ASM-Kunden können anhand des folgenden Risikos nach exponierten Cisco Adaptive Security Appliance-Webmanagement-Schnittstellen in ihrem Netzwerk suchen(risks.name="Exposed Cisco Adaptive Security Appliance")
Hintergrund
Censys ist sich bewusst, dass Cisco Talos am 24. April einen Bericht veröffentlicht hat, der Licht auf eine Kampagne eines bisher unbekannten, staatlich gesponserten Bedrohungsakteurs mit der Bezeichnung "UAT4356" wirft. Die Kampagne mit dem Namen "ArcaneDoor" richtete sich im Rahmen einer globalen Aktion gegen Perimeter-Netzwerkgeräte verschiedener Anbieter, die sich im Besitz von Regierungen befinden.
Die Untersuchung von Talos ergab, dass die Infrastruktur der Akteure zwischen November und Dezember 2023 aufgebaut wurde, wobei die ersten Aktivitäten Anfang Januar 2024 entdeckt wurden. Während der ursprüngliche Zugriffsvektor, der in dieser Kampagne verwendet wurde, unbekannt bleibt, deckte Talos drei Zero-Day-Schwachstellen auf, die die Software Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) betreffen und als Teil der Angriffskette ausgenutzt wurden: CVE-2024-20353, CVE-2024-20359 und CVE-2024-20358.
Mögliche Folgen einer erfolgreichen Ausbeutung:
Die Raffinesse der Exploit-Kette und die Auswahl der Opfer, die mit der Regierung in Verbindung stehen, deuten darauf hin, dass dieser Bedrohungsakteur sorgfältig hochwertige Ziele auswählt. Es wurden verschiedene bösartige Aktivitäten auf den Zielsystemen beobachtet, darunter das Einschleusen von Malware, die Erkundung von Netzwerken, das Ändern von Gerätekonfigurationen und möglicherweise das Erreichen von Seitwärtsbewegungen. Der ursprüngliche Talos-Blog zu ArcaneDoor enthält eine detaillierte Analyse der verwendeten Malware.
Cisco-Netzwerkgeräte können durchaus als kritische Infrastruktur angesehen werden, insbesondere wenn sie Regierungsnetzwerke schützen. Ein erfolgreiches Eindringen in diese Geräte könnte erhebliche Auswirkungen auf die gesamte Organisation haben, insbesondere wenn man bedenkt, wie raffiniert diese Angriffe sind.
Betroffene Vermögenswerte
Cisco Adaptive Security Appliance (ASA) Assets sind Netzwerkgeräte mit verschiedenen Funktionen wie Firewall, Antivirus, Intrusion Prevention Systems (IPS) und Virtual Private Network (VPN)-Funktionen.
Cisco Firepower Threat Defense (FTD) ist eine Software, die die Firewall- und IPS-Funktionen von Cisco ASA und Cisco Firepower als weitere Netzwerksicherheitslösung kombiniert.
In den Hinweisen von Cisco werden keine spezifischen betroffenen Versionen für diese Schwachstellen aufgeführt, so dass man davon ausgehen kann, dass alle Geräte, auf denen diese Software läuft, gegen diese Schwachstellen geschützt sein sollten. Auf der Seite Cisco Software Checker können Kunden die Softwareversionen mehrerer Produkte auf ihren Geräten überprüfen, um eine mögliche Sicherheitslücke zu ermitteln.
Globale Auswirkungen
Am Montag, den 29. April 2024, beobachtete Censys über 162.700 Hosts, auf denen die Software Cisco Adaptive Security Appliance online ist(services.software.product="Adaptive Security Appliance"). Der digitale Fußabdruck von Firepower Threat Defense-Hosts ist mit weniger als zehn beobachteten Online-Hosts deutlich kleiner. Censys hat keinen Einblick in die Softwareversionen dieser Produkte.
Karte aller exponierten Censys-sichtbaren Cisco ASA-Geräte weltweit am 29. April 2024
Land |
Host-Zahl |
Vereinigte Staaten |
51038 |
China |
11658 |
Deutschland |
11209 |
Vereinigtes Königreich |
11117 |
Russland |
5491 |
Kanada |
5261 |
Japan |
4352 |
Niederlande |
4276 |
Schweiz |
3301 |
Hongkong |
2879 |
Top 10 Länder mit exponierten Censys-sichtbaren Cisco ASA-Geräten am 29. April 2024
Es ist klar, dass Cisco ASA-Software weltweit beliebt ist: Die führenden Länder hier spiegeln genau die Länder wider, die Censys mit den höchsten Konzentrationen von Hosts in unserem Datensatz insgesamt beobachtet. Die Vereinigten Staaten beherbergen knapp ein Drittel der exponierten Cisco ASA-Geräte, mit ungefähr 51.000 Hosts, die online sind.
Obwohl sich diese Analyse aufgrund der eingehenden Untersuchung von Talos insbesondere auf Cisco ASA konzentriert, ist zu beachten, dass Perimeter-Netzwerkgeräte verschiedener Hersteller Ziel dieser Kampagne sind. Sie können das Label network.device in Censys Search verwenden, um umfassend nach Netzwerkgeräten in Ihrem Netzwerk zu suchen.
Empfehlungen für Abhilfemaßnahmen
Während der ursprüngliche Angriffsvektor noch unbekannt ist, empfiehlt Cisco seinen Kunden, die im Sicherheitshinweis aufgeführten Software-Updates zu installieren, die die drei im Rahmen der Untersuchung entdeckten Schwachstellen beheben: Cisco Event Response: Angriffe gegen Cisco Firewall-Plattformen
Cisco hat auch die folgenden Schritte für Kunden bereitgestellt, um die Integrität ihrer ASA- oder FTD-Geräte zu überprüfen:
"Hinweis: Führen Sie die folgenden Schritte für jedes Gerät durch und stellen Sie die Ausgabe jedes Geräts als eigene Datei bereit.
- Melden Sie sich über SSH/Telnet bei der Geräte-CLI an.
- Wenn das Gerät im Cisco FTD-Modus eingesetzt wird, führen Sie den Befehl system support diagnostic-cli und anschließend den Befehl enable aus.
- Wenn das Gerät im Multikontextmodus bereitgestellt wird, melden Sie sich im Administratorkontext an und wechseln Sie in den Systemkontext.
- Führen Sie den Befehl term pager 0 aus, um zu verhindern, dass das Gerät die Ausgabe mit der Aufforderung -More- unterbricht.
- Führen Sie den Befehl show version aus und speichern Sie die Ausgabe in einer Textdatei.
- Führen Sie den Befehl verify /sha-512 system:memory/text aus und speichern Sie die Ausgabe in dieselbe Textdatei.
- Führen Sie den Befehl show memory region aus und speichern Sie die Ausgabe in dieselbe Textdatei.
- Setzen Sie die Terminallänge mit dem Befehl term pager 24 zurück.
- Eröffnen Sie einen Fall mit dem Cisco Technical Assistance Center (TAC) als Schweregrad 3. Verweisen Sie in dem Fall auf das Schlüsselwort ArcaneDoor und laden Sie die Daten hoch, die in den Schritten 3-5 gesammelt wurden.