Zwei Cisco Zero-Day-Schwachstellen werden für Spionage ausgenutzt
Eine neue Malware-Kampagne nutzte zwei Zero-Day-Schwachstellen in Cisco-Netzwerken, um maßgeschneiderte Schadsoftware zu verbreiten und heimlich Daten zu sammeln. Das Sicherheitsteam von Cisco Talos nannte diese Aktivität ArcaneDoor und vermutet, dass sie von einem hochentwickelten, staatlich finanzierten Akteur namens UAT4356 ausgeführt wird (auch bekannt als Storm-1849 von Microsoft).
Laut Talos hat UAT4356 zwei Hintertüren verwendet – „Line Runner“ und „Line Dancer“ – um böswillige Aktionen durchzuführen. Diese Aktionen umfassen Konfigurationsänderungen, Überwachung des Netzwerkverkehrs und seitliche Bewegungen.
Die Angreifer wurden erstmals Anfang Januar 2024 entdeckt und bestätigt. Sie nutzten zwei Sicherheitslücken aus:
- CVE-2024-20353 (CVSS-Score: 8.6) – Schwachstelle für den Webdienst in Cisco Adaptive Security Appliance und Firepower Threat Defense Software, die zu einem Denial-of-Service führen kann.
- CVE-2024-20359 (CVSS-Score: 6.0) – Schwachstelle in Cisco Adaptive Security Appliance und Firepower Threat Defense Software, die es Angreifern ermöglicht, lokalen Code auszuführen.
Erwähnenswert ist hier, dass ein Zero-Day-Exploit eine unbekannte Sicherheitslücke ausnutzt, um Zugriff auf ein System zu erhalten.
Die zweite Schwachstelle ermöglicht es einem lokalen Angreifer, beliebigen Code mit Root-Rechten auszuführen, erfordert jedoch Administratorrechte für die Ausnutzung. Zusätzlich zu CVE-2024-20353 und CVE-2024-20359 wurde bei internen Sicherheitstests eine Schwachstelle für Befehlsinjektion in derselben Appliance entdeckt (CVE-2024-20358, CVSS-Score: 6.0).
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat diese Schwachstellen in ihren KEV-Katalog aufgenommen und fordert Bundesbehörden auf, die von den Herstellern bereitgestellten Korrekturen bis zum 1. Mai 2024 anzuwenden.
Der genaue Angriffsweg, der zur Kompromittierung der Geräte führte, ist derzeit unbekannt, obwohl die UAT4356-Gruppe Berichten zufolge bereits im Juli 2023 mit den Angriffsvorbereitungen begonnen haben soll.
Nach einem erfolgreichen Einbruch werden auf den Zielsystemen zwei Implantate eingerichtet, Dancer und Line Runner. Line Dancer ist eine speicherinterne Backdoor, die es Angreifern ermöglicht, beliebigen Shellcode hochzuladen und auszuführen, einschließlich der Deaktivierung von Systemprotokollen und der Exfiltration von Paketaufzeichnungen.
Line Runner ist ein persistentes HTTP-basiertes Lua-Implantat, das auf der Cisco Adaptive Security Appliance (ASA) installiert wird, indem es die zuvor erwähnten Zero-Day-Schwachstellen ausnutzt. Es überlebt Neustarts und Upgrades und wird verwendet, um Informationen abzurufen, die von Line Dancer bereitgestellt werden.
Ein gemeinsames Advisory von Cybersicherheitsbehörden aus Australien, Kanada und Großbritannien deutet darauf hin, dass Line Runner auch ohne Line Dancer auf einem kompromittierten Gerät vorhanden sein kann, was seine Rolle als persistente Backdoor betont.
In jeder Phase des Angriffs soll UAT4356 eine akribische Aufmerksamkeit auf das Verbergen digitaler Spuren gezeigt und komplexe Methoden angewendet haben, um Speicherforensik zu umgehen und die Entdeckungschancen zu verringern. Dies trägt zu seiner Raffinesse und seiner schwer fassbaren Natur bei.
Dies deutet auch darauf hin, dass die Angreifer ein umfassendes Verständnis für die inneren Abläufe der ASA selbst haben, ebenso wie für die „forensischen Maßnahmen, die von Cisco üblicherweise zur Validierung der Integrität von Netzwerkgeräten durchgeführt werden.
Es ist unklar, welches Land genau hinter ArcaneDoor steht, jedoch haben sowohl chinesische als auch russische staatlich unterstützte Hacker in der Vergangenheit Cisco-Router für Cyber-Spionagezwecke ins Visier genommen. Cisco Talos hat auch nicht angegeben, wie viele Kunden bei diesen Angriffen kompromittiert wurden.
Diese Entwicklung verdeutlicht erneut, wie Edge-Geräte und Plattformen wie E-Mail-Server, Firewalls und VPNs verstärkt in die Schusslinie geraten. Es geht also um Geräte, die traditionell keine Endpoint-Detection-and-Response (EDR)-Lösungen haben. Diesen Trend hat auch die jüngste Serie von Angriffen auf Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks und VMware gezeigt.
„Perimeter-Netzwerkgeräte sind der perfekte Einstiegspunkt für Spionagekampagnen“, so Talos. „Da sie einen kritischen Pfad für den Datenverkehr darstellen, müssen diese Geräte regelmäßig und zeitnah gepatcht werden, die neueste Hardware- und Softwareversion verwenden und unter Sicherheitsgesichtspunkten sorgfältig überwacht werden. Wenn ein Angreifer diese Geräte kompromittiert, kann er direkt ins Unternehmen eindringen, den Datenverkehr beeinflussen und die Netzwerkkommunikation überwachen.“