Résumé :
- Trois jours zéro dans deux produits de pare-feu Cisco, le logiciel Cisco ASA et le logiciel Cisco Firepower Threat Defense (FTD), ont été découverts dans le cadre d'une enquête sur une vaste campagne d'acteurs menaçants ciblant des dispositifs de réseaux périmétriques appartenant à des gouvernements dans le monde entier, avec une exploitation remontant à janvier 2024.
- La campagne de l'acteur de la menace, baptisée "ArcaneDoor", a été découverte comme ciblant des dispositifs de réseau de divers fournisseurs
- Les vulnérabilités de type "zero day" identifiées sont les suivantes : CVE-2024-20353, CVE-2024-20359 et CVE-2024-20358. Seules les vulnérabilités CVE-2024-20353 et CVE-2024-20359 ont été exploitées dans le cadre de la campagne ArcaneDoor.
- En date du lundi 28 avril 2024, Censys voit plus de 162 735 hôtes exécutant le logiciel Cisco Adaptive Security Appliance en ligne. Moins de 10 instances de Firepower Threat Defense ont été observées en ligne.
- Un peu moins d'un tiers de tous les appareils Cisco ASA exposés étaient hébergés aux États-Unis. La répartition plus large entre les pays montre clairement que Cisco ASA est un logiciel très populaire dans le monde entier.
- Bien que le vecteur d'accès initial utilisé pour cette campagne soit encore inconnu, Cisco a publié un logiciel mis à jour pour traiter les 3 jours zéro et a fourni des étapes pour que les clients vérifient l'intégrité de leurs dispositifs de pare-feu Cisco dans leur avis de réponse à l'événement.
- Censys Requête de recherche pour les appareils Cisco ASA exposés : services.software.product="Adaptive Security Appliance"
- Censys Les clients d'ASM peuvent utiliser le risque suivant pour rechercher les interfaces de gestion Web des dispositifs de sécurité adaptatifs de Cisco exposées dans leur réseau(risks.name="Exposed Cisco Adaptive Security Appliance").
Contexte
Censys sait que le 24 avril, Cisco Talos a publié un rapport faisant la lumière sur une campagne menée par un acteur de menace parrainé par un État jusqu'alors inconnu, identifié sous le nom de "UAT4356". Cette campagne, baptisée "ArcaneDoor", visait les dispositifs de réseaux périmétriques appartenant aux gouvernements et provenant de divers fournisseurs, dans le cadre d'un effort mondial.
L'enquête de Talos a révélé que l'infrastructure de l'acteur a été établie entre novembre et décembre 2023, l'activité initiale ayant été détectée pour la première fois au début du mois de janvier 2024. Bien que le vecteur d'accès initial utilisé dans cette campagne reste inconnu, Talos a découvert trois vulnérabilités zero-day affectant les logiciels Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD) qui ont été exploitées dans le cadre de la chaîne d'attaque : CVE-2024-20353, CVE-2024-20359 et CVE-2024-20358.
Conséquences potentielles d'une exploitation réussie :
La sophistication de la chaîne d'exploitation et le choix de victimes associées au gouvernement impliquent que cet acteur de la menace sélectionne soigneusement des cibles de grande valeur. Ils ont été observés en train de mener diverses activités malveillantes sur les systèmes ciblés, notamment l'implantation de logiciels malveillants, la reconnaissance du réseau, la modification de la configuration des appareils et, éventuellement, la réalisation de mouvements latéraux. Le blog original de Talos sur ArcaneDoor contient une analyse détaillée des logiciels malveillants utilisés.
Les équipements de réseau Cisco peuvent être considérés comme des infrastructures critiques, en particulier lorsqu'ils protègent les réseaux gouvernementaux. L'infiltration réussie de ces dispositifs pourrait avoir un impact significatif sur l'ensemble d'une organisation, surtout si l'on considère la sophistication de ces attaques.
Actifs touchés
Les équipements Cisco Adaptive Security Appliance (ASA) sont des appareils de réseau dotés de diverses fonctions telles que pare-feu, antivirus, systèmes de prévention des intrusions (IPS) et réseaux privés virtuels (VPN).
Cisco Firepower Threat Defense (FTD) est un logiciel qui combine les fonctionnalités de pare-feu et d'IPS de Cisco ASA et de Cisco Firepower pour constituer une autre solution de sécurité réseau.
Les avis de Cisco ne mentionnent aucune version spécifique affectée par ces vulnérabilités, il est donc raisonnable de supposer que tous les appareils utilisant ce logiciel devraient être protégés contre ces vulnérabilités. Cisco propose une page Cisco Software Checker permettant aux clients de vérifier les versions logicielles de plusieurs produits sur leurs appareils afin de déterminer l'exposition potentielle aux vulnérabilités.
Impact mondial
Le lundi 29 avril 2024, Censys a observé plus de 162 700 hôtes exécutant le logiciel Cisco Adaptive Security Appliance en ligne(services.software.product="Adaptive Security Appliance"). L'empreinte numérique des hôtes Firepower Threat Defense est nettement plus petite, avec moins de dix observés en ligne. Censys n'a pas de visibilité sur les versions logicielles de ces produits.
Carte de tous les dispositifs Cisco ASA exposés Censys-visible dans le monde entier le 29 avril 2024
| Pays |
Nombre d'hôtes |
| États-Unis |
51038 |
| Chine |
11658 |
| Allemagne |
11209 |
| Royaume-Uni |
11117 |
| Russie |
5491 |
| Canada |
5261 |
| Japon |
4352 |
| Pays-Bas |
4276 |
| Suisse |
3301 |
| Hong Kong |
2879 |
Top 10 des pays ayant des dispositifs Cisco ASA exposés Censys-visible Devices on April 29, 2024
Il est clair que le logiciel Cisco ASA est mondialement populaire : les pays en tête de liste reflètent étroitement les pays que Censys observe avec les plus fortes concentrations d'hôtes dans notre ensemble de données. Les États-Unis hébergent un peu moins d'un tiers des dispositifs Cisco ASA exposés, avec environ 51 000 hôtes en ligne.
Bien que cette analyse se concentre sur Cisco ASA en particulier en raison de l'enquête approfondie de Talos, notez que les dispositifs de réseau de périmètre de divers fournisseurs sont ciblés dans cette campagne. Vous pouvez utiliser l'étiquette network.device dans Censys Search pour rechercher de manière générale les périphériques de votre réseau.
Recommandations pour la remédiation
Bien que le vecteur d'attaque initial reste inconnu, Cisco recommande à ses clients d'appliquer les mises à jour logicielles énumérées dans leur avis de sécurité qui corrigent les 3 vulnérabilités découvertes dans le cadre de leur enquête : Cisco Event Response : Attaques contre les plates-formes de pare-feu de Cisco
Cisco a également fourni les étapes suivantes pour permettre aux clients de vérifier l'intégrité de leurs appareils ASA ou FTD :
"Note : Effectuez les étapes suivantes pour chaque dispositif et fournissez la sortie de chaque dispositif dans son propre fichier.
- Connectez-vous à la CLI de l'appareil à l'aide de SSH/Telnet.
- Si l'appareil est déployé en mode Cisco FTD, exécutez la commande system support diagnostic-cli, puis la commande enable.
- Si l'appareil est déployé en mode multi-contexte, connectez-vous au contexte admin et passez au contexte système.
- Exécutez la commande term pager 0 pour empêcher le dispositif de mettre en pause la sortie avec des invites -More-.
- Exécutez la commande show version et enregistrez le résultat dans un fichier texte.
- Exécutez la commande verify /sha-512 system:memory/text et enregistrez le résultat dans le même fichier texte.
- Exécutez la commande show memory region et enregistrez le résultat dans le même fichier texte.
- Réinitialiser la longueur du terminal avec la commande term pager 24.
- Ouvrez un dossier auprès du Centre d'assistance technique de Cisco (TAC) en tant que gravité 3. Dans ce cas, faites référence au mot-clé ArcaneDoor et téléchargez les données collectées aux étapes 3 à 5".
