Cisco bugün, devlet destekli bir hack grubunun, Kasım 2023'ten bu yana dünya çapında hükümet ağlarını ihlal etmek için uyarlanabilir güvenlik cihazı (ASA) ve Ateş Gücü Tehdit Savunma (FTD) güvenlik duvarında iki sıfır günlük güvenlik açıkından yararlandığı konusunda uyardı.
Cisco Talos tarafından UAT4356 ve Microsoft tarafından Storm-1849 olarak tanımlanan bilgisayar korsanları, Kasım 2023'ün başlarında Arcanedoor olarak izlenen bir siber ihale kampanyasında savunmasız kenar cihazlarına sızmaya başladı.
Cisco henüz ilk saldırı vektörünü henüz tanımlamamış olsa da, iki güvenlik kusurunu keşfetti ve düzeltti-CVE-2024-20353 (Hizmet İndirimi) ve CVE-2024-20359 (kalıcı yerel kod yürütme)-sıfır olarak kullanılan tehdit aktörleri -Bu saldırılarda günler.
Cisco, Ocak 2024'ün başlarında Arcanedoor kampanyasının farkına vardı ve saldırganların en az Temmuz 2023'ten bu yana iki sıfır gününü hedeflemek için istismarları test ettiklerine ve geliştirdiğine dair kanıt buldu.
İki güvenlik açığı, tehdit aktörlerinin daha önce bilinmeyen kötü amaçlı yazılımları dağıtmasına ve tehlikeye atılmış ASA ve FTD cihazlarda kalıcılığı sürdürmesine izin verdi.
Kötü amaçlı yazılım implantlarından biri olan Line Dancer, günlüğü devre dışı bırakmak, uzaktan erişim sağlamak ve yakalanan paketleri dışarı atmak için keyfi kabuk kodu yükleri teslim etmeye ve yürütmeye yardımcı olan bellek içi bir kabuk kodu yükleyicidir.
İkinci implant, Line Runner adlı kalıcı bir arka kapı, tespiti önlemek için birden fazla savunma kaçırma mekanizması ile birlikte gelir ve saldırganların saldırıya uğramış sistemlerde keyfi LUA kodu çalıştırmasına izin verir.
Cisco, "Bu aktör, sofistike bir devlet destekli aktörün ayırt edici özellikleri, casusluk ve hedefledikleri cihazların derinlemesine bilgi sahibi olduğunu gösteren ısmarlama araçlar kullandı." Dedi.
"UAT4356, yapılandırma modifikasyonu, keşif, ağ trafiği yakalama/eksfiltrasyonu ve potansiyel yanal hareketi içeren hedefte kötü niyetli eylemler yürütmek için toplu olarak kullanılan bu kampanyanın bileşenleri olarak iki backdrod kullandı. "
Bugün İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Kanada Siber Güvenlik Merkezi (Siber Merkez) ve Avustralya Sinyalleri Müdürlüğü'nün Avustralya Siber Güvenlik Merkezi tarafından yayınlanan ortak bir danışma, kötü niyetli aktörlerin erişimlerini kullandıklarını söylüyor:
Şirket, iki sıfır gününü düzeltmek için Çarşamba günü güvenlik güncellemelerini yayınladı ve şimdi tüm müşterileri gelen saldırıları engellemek için cihazlarını sabit yazılıma yükseltmesini "şiddetle tavsiye ediyor".
Cisco yöneticileri ayrıca, planlanmamış yeniden başlatma, yetkisiz yapılandırma değişiklikleri veya şüpheli kimlik bilgisi etkinliği belirtileri için sistem günlüklerini izlemeye "güçlü bir şekilde teşvik edilir".
Şirket, "Ağ ekipmanı sağlayıcınızdan bağımsız olarak, şimdi cihazların düzgün bir şekilde yamalı olmasını, merkezi, güvenli bir yere oturum açmasını ve güçlü, çok faktörlü kimlik doğrulamaya (MFA) sahip olacak şekilde yapılandırılmasını sağlama zamanı."
Cisco ayrıca ASA veya FTD cihazlarının bu danışma belgesinde bütünlüğünün doğrulanması hakkında talimatlar sunmaktadır.
Bu ayın başlarında Cisco, Cisco, Checkpoint, Fortinet, Sonicwall ve Ubiquiti cihazlarında VPN ve SSH hizmetlerini hedefleyen büyük ölçekli kaba kuvvet saldırıları konusunda uyardı.
Mart ayında, Cisco Secure Güvenli Güvenlik Duvarı cihazlarında yapılandırılmış uzaktan erişim VPN (RAVPN) hizmetlerini hedefleyen şifre püskürtme saldırılarını azaltma konusunda rehberlik paylaştı.
Crushftp, kullanıcıları sömürülen sıfır gün “hemen” yama yapmaları konusunda uyarır
Miter, devlet hackerlarının ağını Ivanti Zero-Days aracılığıyla ihlal ettiğini söylüyor
Cisco, kamu istismar kodu ile kök artış kusurunu açıklar
Rus Sandworm Hackers, su hizmetlerinde hacktivist olarak poz veriyor
Saldırılarda kullanılan Palo Alto Pan-O Bug için piyasaya sürülen istismar, şimdi yama
Kaynak: Bleeping Computer