Una nueva campaña de malware aprovechó dos fallas de día cero en los equipos de red de Cisco para entregar malware personalizado y facilitar la recopilación encubierta de datos en entornos de destino.
Cisco Talos, que denominó la actividad ArcanoPuertaatribuyéndolo como obra de un sofisticado actor patrocinado por el estado previamente indocumentado al que rastrea bajo el nombre UAT4356 (también conocido como Storm-1849 de Microsoft).
«UAT4356 implementó dos puertas traseras como componentes de esta campaña, ‘Line Runner’ y ‘Line Dancer’, que se usaron colectivamente para llevar a cabo acciones maliciosas en el objetivo, que incluyeron modificación de configuración, reconocimiento, captura/exfiltración de tráfico de red y potencialmente movimiento lateral. «Talos dicho.
Las intrusiones, que fueron detectadas y confirmadas por primera vez a principios de enero de 2024, implican la explotación de dos vulnerabilidades –
- CVE-2024-20353 (Puntuación CVSS: 8,6) – Vulnerabilidad de denegación de servicio de servicios web del software Cisco Adaptive Security Appliance y Firepower Threat Defense
- CVE-2024-20359 (Puntuación CVSS: 6,0) – Vulnerabilidad de ejecución persistente de código local del software Cisco Adaptive Security Appliance y Firepower Threat Defense
Vale la pena señalar que un exploit de día cero es la técnica o ataque que implementa un actor malicioso para aprovechar una vulnerabilidad de seguridad desconocida para obtener acceso a un sistema.
Si bien la segunda falla permite que un atacante local ejecute código arbitrario con privilegios de nivel de raíz, se requieren privilegios de nivel de administrador para explotarlo. Se solucionó junto con CVE-2024-20353 y CVE-2024-20359 una falla de inyección de comando en el mismo dispositivo (CVE-2024-20358puntuación CVSS: 6,0) que se descubrió durante las pruebas de seguridad internas.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) tiene agregado las deficiencias de sus vulnerabilidades explotadas conocidas (KEV) catálogo, lo que requiere que las agencias federales apliquen las correcciones proporcionadas por el proveedor antes del 1 de mayo de 2024.
Actualmente se desconoce la vía de acceso inicial exacta utilizada para violar los dispositivos, aunque se dice que UAT4356 comenzó los preparativos para ello ya en julio de 2023.
A un punto de apoyo exitoso le sigue el despliegue de dos implantes llamados Line Dancer y Line Runner, el primero de los cuales es una puerta trasera en memoria que permite a los atacantes cargar y ejecutar cargas útiles de shellcode arbitrarias, incluida la desactivación de registros del sistema y la extracción de capturas de paquetes.
Line Runner, por otro lado, es un implante Lua persistente basado en HTTP instalado en Cisco Adaptive Security Appliance (ASA) aprovechando los días cero antes mencionados para que pueda sobrevivir a través de reinicios y actualizaciones. Se ha observado que se utiliza para obtener información presentada por Line Dancer.
«Se sospecha que Line Runner puede estar presente en un dispositivo comprometido incluso si Line Dancer no lo está (por ejemplo, como una puerta trasera persistente o cuando un ASA afectado aún no ha recibido atención operativa completa por parte de los actores maliciosos)», según un asesoramiento conjunto publicado por agencias de ciberseguridad de Australia, Canadá y el Reino Unido
En cada fase del ataque, se dice que UAT4356 demostró una atención meticulosa para ocultar huellas digitales y la capacidad de emplear métodos complejos para evadir la memoria forense y reducir las posibilidades de detección, lo que contribuye a su sofisticación y naturaleza esquiva.
Esto también sugiere que los actores de amenazas tienen una comprensión completa del funcionamiento interno del propio ASA y de las «acciones forenses comúnmente realizadas por Cisco para la validación de la integridad de los dispositivos de red».
No está claro exactamente qué país está detrás de ArcaneDoor, sin embargo, ambos Chino y Hackers respaldados por el estado ruso han apuntado a enrutadores Cisco con fines de ciberespionaje en el pasado. Cisco Talos tampoco especificó cuántos clientes se vieron comprometidos en estos ataques.
El desarrollo destaca una vez más la mayor focalización de dispositivos y plataformas perimetrales, como servidores de correo electrónico, firewalls y VPN, que tradicionalmente carecen de soluciones de detección y respuesta de endpoints (EDR), como lo demuestra el reciente serie de ataques dirigido a Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks y VMware.
«Los dispositivos de red perimetral son el punto de intrusión perfecto para campañas centradas en el espionaje», afirmó Talos.
«Como ruta crítica para que los datos entren y salgan de la red, estos dispositivos deben ser parcheados de manera rutinaria y rápida; usar versiones y configuraciones de hardware y software actualizadas; y ser monitoreados de cerca desde una perspectiva de seguridad. Estos dispositivos permiten a un actor ingresar directamente a una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red».