Un acteur malveillant parrainé par un État a réussi à compromettre les appliances de sécurité adaptables Cisco (ASA) utilisées sur les réseaux gouvernementaux à travers le monde et à utiliser deux vulnérabilités zero-day (CVE-2024-20353, CVE-2024-20359) pour y installer des portes dérobées, Les chercheurs de Cisco Talos l’ont partagé mercredi.
La première activité confirmée observée par un client Cisco remonte à début janvier 2024, mais les attaques réelles ont commencé en novembre 2023. « De plus, nous avons identifié des preuves suggérant que cette fonctionnalité a été testée et développée dès juillet 2023 », ont ajouté les chercheurs.
Le malware personnalisé
Le vecteur d’accès initial de cette campagne – baptisé ArcaneDoor – est encore inconnu.
L’acteur malveillant, que Cisco Talos suit sous le nom d’UAT4356 et Microsoft sous le nom de STORM-1849, a utilisé des logiciels malveillants personnalisés :
- Line Dancer, un interpréteur de shellcode qui réside uniquement en mémoire, pour télécharger et exécuter des charges utiles de shellcode arbitraires
- Line Runner, une porte dérobée pour maintenir la persistance.
« Sur un ASA compromis, les attaquants soumettent le shellcode via le champ de réponse de l’analyse de l’hôte, qui est ensuite analysé par l’implant Line Dancer. Le champ de réponse d’analyse de l’hôte, généralement utilisé dans les parties ultérieures du processus d’établissement de session VPN SSL, est traité par des appareils ASA configurés pour VPN SSL, VPN IPsec IKEv2 avec « services clients » ou accès de gestion HTTPS », ont expliqué les chercheurs.
« L’acteur remplace le pointeur vers le code de réponse par défaut de l’hôte pour pointer vers l’interpréteur de shellcode Line Dancer. Cela permet à l’acteur d’utiliser les requêtes POST pour interagir avec l’appareil sans avoir à s’authentifier et à interagir directement via des interfaces de gestion traditionnelles.
Danseur de ligne a été utilisé pour désactiver syslog (le protocole de journalisation), exfiltrer la commande show configuration et les captures de paquets, exécuter des commandes CLI, forcer le périphérique à ignorer la création d’un vidage sur incident en cas de panne (pour contrecarrer l’analyse médico-légale) et créer des moyens de toujours être capable de se connecter à distance à l’appareil.
Coureur de ligne exploite les fonctionnalités liées à une capacité ASA héritée pour rechercher un fichier LUA spécifique, le décompresser, l’exécuter et le supprimer. Les scripts qu’il contient permettaient à l’acteur malveillant de maintenir une porte dérobée Lua basée sur HTTP sur l’appareil qui persisterait malgré les redémarrages et les mises à niveau.
Corrigez, enquêtez, répondez
Cisco a publié des correctifs pour CVE-2024-20353 et CVE-2024-20359, a fourni des indicateurs de compromission, des signatures Snort et a décrit plusieurs méthodes pour localiser la porte dérobée Line Runner sur les appareils ASA.
Il est conseillé aux organisations utilisant Cisco ASA de mettre en œuvre les correctifs dès que possible car il n’existe aucune solution de contournement permettant de résoudre les deux vulnérabilités.
“Les clients sont également fortement encouragés à surveiller les journaux système pour détecter les indicateurs de modifications de configuration non documentées, de redémarrages imprévus et de toute activité d’identification anormale”, a conseillé Cisco.
Cisco a également publié des correctifs pour une troisième vulnérabilité (CVE-2024-20358) affectant les Cisco ASA, qui n’est pas exploitée par ces attaquants.
Attaques ciblées
Les chercheurs de Cisco ont travaillé à l’analyse de ces attaques avec l’aide de plusieurs sociétés (Microsoft, Lumen Technologies) et d’agences gouvernementales de cybersécurité des États-Unis, du Canada, d’Australie et du Royaume-Uni.
“Cet acteur a utilisé des outils sur mesure qui démontraient une concentration claire sur l’espionnage et une connaissance approfondie des appareils qu’ils ciblaient, caractéristiques d’un acteur sophistiqué parrainé par l’État”, ont noté les chercheurs.
Les mesures anti-criminalistiques sophistiquées utilisées, le recours au jour zéro et l’accent mis sur des cibles spécifiques n’ont fait que renforcer cette conclusion.
ArcaneDoor est la dernière d’une série de campagnes visant à compromettre les appareils réseau « de pointe » tels que les VPN et les pare-feu, dont la plupart ont été attribuées à des pirates informatiques parrainés par l’État chinois.
« De plus, la télémétrie du réseau et les informations provenant des partenaires de renseignement indiquent que l’acteur est intéressé – et potentiellement attaquant – les périphériques réseau de Microsoft et d’autres fournisseurs. Quel que soit votre fournisseur d’équipement réseau, il est maintenant temps de vous assurer que les appareils sont correctement corrigés, connectés à un emplacement central et sécurisé et configurés pour disposer d’une authentification multifacteur (MFA) forte », a averti Cisco Talos.
“Prendre pied sur ces appareils permet à un acteur de s’intégrer directement dans une organisation, de rediriger ou de modifier le trafic et de surveiller les communications réseau.”
