Las dos vulnerabilidades permitieron a los autores de las amenazas implantar malware, desconocido hasta entonces, y mantener su persistencia en los dispositivos ASA y FTD comprometidos.
Uno de los programas maliciosos implantados incluyen «Line Dancer» que es un cargador de código shell en memoria que ayuda a entregar y ejecutar cargas útiles de código shell arbitrarias para desactivar el registro, proporcionar acceso remoto y filtrar paquetes capturados.
El segundo implante, es una puerta trasera persistente llamado «Line Runner», que viene con múltiples mecanismos de evasión de defensa para evitar la detección y permite a los atacantes ejecutar código arbitrario en los sistemas hackeados.
«Este actor utilizó herramientas a medida que demostraban un claro enfoque en el espionaje y un profundo conocimiento de los dispositivos a los que se dirigían, características distintivas de un sofisticado actor patrocinado por el Estado», dijo Cisco.
Los actores maliciosos aprovecharon su acceso para generar versiones de texto de los archivos de configuración de los dispositivos, controlar los servicios syslog y modificar las configuraciones de autenticación.
Aunque Cisco aún no ha identificado el vector de ataque inicial, ha publicado rápidamente actualizaciones de seguridad para hacer frente a las vulnerabilidades y corrigió dos fallos de seguridad –CVE-2024-20353 (denegación de servicio) y CVE-2024-20359 (ejecución persistente de código local)– que los actores de la amenaza utilizaron como zero-days en estos ataques.
Cisco recomienda a todos los clientes que actualicen sus dispositivos para evitar posibles ataques e insta a los administradores a que supervisen los registros del sistema en busca de cualquier indicio de actividad no autorizada y se aseguren de que los dispositivos están correctamente parcheados, registrados y configurados con medidas de autenticación sólidas.
En el aviso de Cisco se proporcionan instrucciones para verificar la integridad de los dispositivos ASA o FTD. Las advertencias anteriores de Cisco incluyen ataques de fuerza bruta a gran escala dirigidos a servicios VPN y SSH y orientaciones para mitigar los ataques de pulverización de contraseñas en servicios VPN de acceso remoto.
Más información:
Line Dancer: https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf
Line Runner: https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-runner.pdf
https://www.cyber.gc.ca/en/news-events/cyber-activity-impacting-cisco-asa-vpns
Verificar la integridad de los dispositivos ASA o FTD: https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response
Ataques de fuerza bruta a gran escala dirigidos a servicios VPN y SSH: https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/
La entrada Explotación de puerta trasera en cortafuegos de Cisco se publicó primero en Una al Día.
