Resumen ejecutivo:
- Se descubrieron tres días cero en dos productos de firewall de Cisco, el software Cisco ASA y el software Cisco Firepower Threat Defense (FTD), como parte de una investigación sobre una campaña más amplia de actores de amenazas dirigida a dispositivos de red perimetral de propiedad gubernamental a nivel mundial, con explotación que se remonta a enero de 2024.
- Se descubrió que la campaña del agente de amenazas, denominada "ArcaneDoor", se dirigía a dispositivos de red de varios proveedores.
- Las vulnerabilidades de día cero identificadas se rastrean como CVE-2024-20353, CVE-2024-20359 y CVE-2024-20358; de ellas, sólo CVE-2024-20353 y CVE-2024-20359 fueron explotadas en la campaña ArcaneDoor.
- A partir del lunes 28 de abril de 2024, Censys observa más de 162.735 hosts que ejecutan el software Cisco Adaptive Security Appliance en línea. Se observaron menos de 10 instancias de Firepower Threat Defense en línea.
- Algo menos de un tercio de todos los dispositivos Cisco ASA expuestos estaban alojados en EE.UU. La distribución más amplia por países pone de manifiesto que Cisco ASA es un software muy popular en todo el mundo.
- Aunque todavía se desconoce el vector de acceso inicial utilizado en esta campaña, Cisco ha publicado actualizaciones de software para hacer frente a los 3 días cero y ha proporcionado los pasos para que los clientes comprueben la integridad de sus dispositivos Firewall de Cisco en su aviso de respuesta a eventos.
- Censys Consulta de búsqueda de dispositivos Cisco ASA expuestos: services.software.product="Adaptive Security Appliance"
- Censys Los clientes de ASM pueden utilizar el siguiente riesgo para buscar interfaces de gestión web deCisco Adaptive Security Appliance expuestas en su red(risks.name="Exposed Cisco Adaptive Security Appliance")
Fondo
Censys es consciente de que el 24 de abril, Cisco Talos publicó un informe que arroja luz sobre una campaña de un actor de amenazas patrocinado por el Estado, previamente desconocido y rastreado como "UAT4356". La campaña, bautizada como "ArcaneDoor", tenía como objetivo dispositivos de red perimetral de propiedad gubernamental de varios proveedores como parte de un esfuerzo global.
La investigación de Talos descubrió que la infraestructura del actor se estableció entre noviembre y diciembre de 2023, y que la actividad inicial se detectó por primera vez a principios de enero de 2024. Aunque el vector de acceso inicial utilizado en esta campaña sigue siendo desconocido, Talos descubrió tres vulnerabilidades de día cero que afectan al software Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) que fueron explotadas como parte de la cadena de ataque: CVE-2024-20353, CVE-2024-20359 y CVE-2024-20358.
Consecuencias potenciales del éxito de la explotación:
La sofisticación de la cadena de exploits y la elección de víctimas asociadas al gobierno implican que este actor de amenazas está seleccionando cuidadosamente objetivos de alto valor. Se les ha observado llevando a cabo varias actividades maliciosas en los sistemas objetivo, incluyendo la implantación de malware, la realización de reconocimiento de redes, la alteración de la configuración de los dispositivos y, potencialmente, la realización de movimientos laterales. El blog original de Talos sobre ArcaneDoor contiene un análisis detallado del malware específico empleado.
Los dispositivos de red de Cisco pueden considerarse infraestructuras críticas, especialmente cuando protegen redes gubernamentales. La infiltración con éxito de estos dispositivos podría afectar significativamente a toda una organización, especialmente teniendo en cuenta la sofisticación de estos ataques.
Activos afectados
Los dispositivos Cisco Adaptive Security Appliance (ASA) son dispositivos de red con diversas funciones, como cortafuegos, antivirus, sistemas de prevención de intrusiones (IPS) y capacidades de red privada virtual (VPN).
Cisco Firepower Threat Defense (FTD) es un software que combina las capacidades de cortafuegos e IPS de Cisco ASA y Cisco Firepower como otra solución de seguridad de red.
Los avisos de Cisco no enumeran ninguna versión específica afectada por estas vulnerabilidades, por lo que es razonable suponer que cualquier dispositivo que ejecute este software debería estar protegido contra ellas. Ofrecen una página de comprobación de software de Cisco para que los clientes comprueben las versiones de software de varios productos en sus dispositivos a fin de determinar la posible exposición a vulnerabilidades.
Impacto mundial
El lunes 29 de abril de 2024, Censys observó más de 162.700 hosts que ejecutaban el software Cisco Adaptive Security Appliance en línea(services.software.product="Adaptive Security Appliance"). La huella digital de los hosts Firepower Threat Defense es significativamente menor, con menos de diez observados en línea. Censys no tiene visibilidad de las versiones de software de estos productos.
Mapa de todos los dispositivos Cisco ASA visibles en Censys expuestos en todo el mundo el 29 de abril de 2024
| País |
Recuento de anfitriones |
| Estados Unidos |
51038 |
| China |
11658 |
| Alemania |
11209 |
| Reino Unido |
11117 |
| Rusia |
5491 |
| Canadá |
5261 |
| Japón |
4352 |
| Países Bajos |
4276 |
| Suiza |
3301 |
| Hong Kong |
2879 |
Los 10 principales países con dispositivos Cisco ASA visibles en Censys expuestos el 29 de abril de 2024
Está claro que el software Cisco ASA es popular en todo el mundo: los principales países reflejan fielmente los países que Censys observa con las mayores concentraciones de hosts en nuestro conjunto de datos. Estados Unidos alberga algo menos de un tercio de los dispositivos Cisco ASA expuestos, con aproximadamente 51.000 hosts en línea.
Aunque este análisis se centra en Cisco ASA en particular debido a la investigación en profundidad de Talos, tenga en cuenta que los dispositivos de red perimetral de varios proveedores son el objetivo de esta campaña. Puede utilizar la etiqueta network.device en Censys Search para buscar ampliamente dispositivos de red en su red.
Recomendaciones para remediar la situación
Aunque el vector de ataque inicial sigue siendo desconocido, Cisco recomienda que los clientes apliquen las actualizaciones de software enumeradas en su aviso de seguridad que abordan las 3 vulnerabilidades descubiertas como parte de su investigación: Cisco Event Response: Ataques contra las plataformas de cortafuegos de Cisco
Cisco también proporcionó los siguientes pasos para que los clientes comprueben la integridad de sus dispositivos ASA o FTD:
"Nota: Complete los siguientes pasos para cada dispositivo y proporcione la salida de cada dispositivo como su propio archivo.
- Inicie sesión en la CLI del dispositivo mediante SSH/Telnet.
- Si el dispositivo está implementado en modo Cisco FTD, ejecute el comando system support diagnostic-cli y, a continuación, el comando enable.
- Si el dispositivo está desplegado en modo multicontexto, inicie sesión en el contexto de administrador y cambie al contexto del sistema.
- Ejecute el comando term pager 0 para evitar que el dispositivo detenga la salida con -Más- avisos.
- Ejecute el comando show version y guarde el resultado en un archivo de texto.
- Ejecute el comando verify /sha-512 system:memory/text y guarde el resultado en el mismo archivo de texto.
- Ejecute el comando show memory region y guarde la salida en el mismo archivo de texto.
- Restablezca la longitud del terminal con el comando term pager 24.
- Abra un caso con el Centro de Asistencia Técnica de Cisco (TAC ) como gravedad 3. En el caso, haga referencia a la palabra clave ArcaneDoor y cargue los datos que se recopilaron en los pasos 3 a 5".
