Các tin tặc, được Microsoft xác định là UAT4356 và STORM-1849, đã bắt đầu xâm nhập vào các thiết bị biên dễ bị tấn công vào đầu tháng 11 năm 2023 trong một chiến dịch gián điệp mạng được theo dõi dưới tên ArcaneDoor.
Mặc dù chưa xác định được điểm xâm nhập ban đầu, nhưng Cisco đã phát hiện và vá hai lỗ hổng bảo mật - CVE-2024-20353 (lỗ hổng từ chối dịch vụ) và CVE-2024-20359 (lỗ hổng thực thi mã cục bộ) - mà các tác nhân đe dọa khai thác dưới dạng zeroday trong các cuộc tấn công này.
Cisco biết đến chiến dịch ArcaneDoor vào đầu tháng 1 năm 2024 và tìm thấy bằng chứng cho thấy những kẻ tấn công đã tiến hành các hoạt động khai thác nhắm vào hai lỗ hổng zero-day này ít nhất kể từ tháng 7 năm 2023.
Bị khai thác để triển khai backdoor trên tường lửa của Cisco
Hai lỗ hổng này cho phép các tác nhân đe dọa triển khai phần mềm độc hại, chưa được biết trước đó, và duy trì quyền truy cập trên các thiết bị ASA và FTD bị xâm nhập. Một trong những phần mềm độc hại được lây nhiễm, Line Dancer, là công cụ tải shellcode trong bộ nhớ giúp phân phối và thực thi các payload shellcode tùy ý để vô hiệu hóa tính năng ghi nhật ký, cung cấp quyền truy cập từ xa và trích xuất dữ liệu.
Cũng được phát hiện là một backdoor có tên Line Runner, được thiết kế để vượt qua các biện pháp phòng thủ, tránh bị phát hiện và cho phép kẻ tấn công thực thi mã Lua tùy ý trên các hệ thống bị tấn công.
Cisco cho biết: “UAT4356 đã triển khai hai backdoor ‘Line Runner’ và ‘Line Dancer’ như một phần của chiến dịch này để thực hiện các hành động độc hại nhằm vào mục tiêu, bao gồm việc sửa đổi cấu hình, do thám, thu thập/lọc lưu lượng truy cập mạng và có khả năng lây lan tấn công sang các thiết bị/hệ thống khác trong mạng".
Theo tư vấn bảo mật chung của Trung tâm An ninh mạng quốc gia Anh, Canada và Úc, các tác nhân độc hại đã sử dụng quyền truy cập của họ để:
- Tạo phiên bản văn bản của tệp cấu hình của thiết bị để có thể trích xuất tệp đó thông qua các web request.
- Kiểm soát việc bật và tắt dịch vụ nhật ký hệ thống (syslog) của thiết bị.
- Sửa đổi cấu hình xác thực, ủy quyền và ghi log (audit) (AAA.
Cisco kêu gọi người dùng vá lỗ hổng ngay
Công ty đã phát hành các bản cập nhật bảo mật vào thứ Tư để khắc phục hai lỗ hổng zero-day và đang "đặc biệt khuyến cáo" tất cả người dùng nên nâng cấp thiết bị của họ lên phiên bản phần mềm đã được vá lỗi để ngăn chặn các cuộc tấn công tiềm ẩn.
Quản trị viên Cisco cũng nên giám sát nhật ký hệ thống để phát hiện mọi dấu hiệu khởi động lại đột xuất, thay đổi cấu hình trái phép hoặc hoạt động xác thực đáng ngờ.
Công ty cho biết thêm: “Bất kể nhà cung cấp thiết bị mạng của bạn là gì, hãy đảm bảo rằng các thiết bị được vá đúng cách, ghi log tập trung, được đặt an toàn và được định cấu hình xác thực đa yếu tố (MFA) mạnh mẽ”.
Cisco cũng cung cấp hướng dẫn về cách xác minh tính toàn vẹn của thiết bị ASA hoặc FTD trong tư vấn này. Người dùng nên nhanh chóng kiểm tra và áp dụng bản vá cho các thiết bị bị ảnh hưởng, đồng thời thực hiện theo các khuyến nghị của nhà cung cấp để đảm bảo giữ cho hệ thống của bạn được an toàn hoặc giảm thiểu rủi ro trong trường hợp tấn công đã xảy ra.