0-dags angreb mod Cisco firewalls

2024-04-25

En trusselsaktør (TA) har udnyttet alvorlige sårbarheder i Cisco Adaptive Security Appliance (ASA) eller Cisco Firepower Threat Defense (FTD) til at plante malware på udvalgt udstyr. Kampagnen er blevet døbt "ArcaneDoor" og har gjort brug af to kritisk sårbarheder med CVE-IDs: CVE-2024-20353 og CVE-2024-20359.

Denne kampagne er særligt kritisk, idet mange danske virksomheder anvender det udstyr fra Cisco som er blevet  kompromitteret over en længere periode.

En hurtig IoCs pivot afslører at sporet fører mod Kina.

Angrebet er udført i starten af 2024, men har været under forberedelse siden midt 2023. Se Cisco TALOS diagram herunder:

De to sårbarheder, som aktivt er taget i anvendelse, opnår begge en risikovurdering på HIGH og med CVSS scores på henholdsvis 8.6 og 6.0. Der rettes samtidig en anden fejl der er knyttet til CVE-ID: CVE-2024-20358 og som er vurderet som en medium risiko.

I forbindelse med dette angreb er følgende infrastruktur, i følge Cisco TALOS, blevet anvendt:

192.36.57[.]181
185.167.60[.]85
185.227.111[.]17
176.31.18[.]153
172.105.90[.]154
185.244.210[.]120
45.86.163[.]224
172.105.94[.]93
213.156.138[.]77
89.44.198[.]189
45.77.52[.]253
103.114.200[.]230
212.193.2[.]48
51.15.145[.]37
89.44.198[.]196
131.196.252[.]148
213.156.138[.]78
121.227.168[.]69
213.156.138[.]68
194.4.49[.]6
185.244.210[.]65
216.238.75[.]155

Kinesisk forbindelse til PlugX
Hvis man plotter disse IoCs ind i et diagram, så ses der overlap til bl.a. PlugX som er en APT malware familie der i løbet af årene har udviklet sig til flere varianter og forgreninger og som kan knyttes til Kinesisk statsaktivitet.

Hovedparten af infrastrukturen er hostet i Frankrig og Tyskland mens blot en af de mange C&Cs befinder sig i Kina: 121.227.168[.]6:

inetnum: 121.224.0.0 - 121.239.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN

Opdater med det samme og check logs og appliances for IoCs
Alle der anvender Cisco Cisco ASA eller FTD bør sikre sig at deres udstyr er behørigt opdateret.

Yderligere oplysninger kan findes hos Cisco på adressen:
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

Cisco Talos har publiceret en blogpost som indeholder lidt flere tekniske detaljer:
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/