Volgens de securitywaakhonden van het Verenigd Koninkrijk, Canada en Australië zitten er sinds november 2023 onbekende staatshackers achter aanvallen op firewalls van Cisco. Via deze inbreuken hebben hackers malware ingezet voor spionagedoeleinden.
Cisco heeft deze infiltraties inmiddels bevestigd. Eind januari ontdekten de toezichthouders dat een tweetal Cisco-firewallsystemen, Cisco Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD), het doelwit waren van cyberaanvallen van een onbekende hackersbende. De criminelen hadden het vooral gemunt op Cisco ASA-appliances. Deze apparatuur was kwetsbaar als ze voorzien waren van firmware-versies 9.12 en 9.14. Hackers verkregen toegang door exploits van drie kwetsbaarheden: CVE-2024-20359 , CVE-2024-20358 en CVE-2024-20353.
De aanvallen richtten zich op VPN-diensten die door overheden worden gebruikt. Ook was wereldwijd kritieke infrastructuur een doelwit, stellen de toezichthouders van het VK, Canada en Australië in een gezamenlijke verklaring.
De hackers waren in staat om niet-geautoriseerde toegang tot deze apparaten te krijgen via WebVPN-sessies, clientless SSLVPN-diensten, en zich daarbij diep in de getroffen netwerken te nestelen.
Malware-installatie
Onder meer wisten zij kwaadaardige malware te installeren die remote code injection (RCE) mogelijk maakte op de Cisco-appliances. Dit resulteerde onder andere in het configureren van packet capture-sessies om daarmee data te verzamelen en naar buiten te sturen.
De kwaadaardige bestanden heetten “Line Dancer” en “Line Runner”. De eerste malwaresoort is een ‘in-memory implant‘ voor het uploaden en uitvoeren van allerlei shellcode payloads.
De tweede soort malware is een ‘persistent web shell‘ die cybercriminelen in staat stelt zich blijvend te vestigen in aangevallen netwerken. Daarna kunnen ze welk Lia-script dan ook uploaden en uitvoeren. Ook zouden de inbreuken mogelijk DoS-aanvallen mogelijk kunnen maken.
Bevestiging van Cisco
Cisco Talos bevestigt de kwetsbaarheden, die nu bekend staan als Arcane Door. Het onderzoeksteam geeft daarbij aan dat deze alle kenmerken vertoonden van staatsgesponsorde hackers. Dit komt doordat de hacks zich specifiek richtten op spionage en dat de bewuste hackers een grondige kennis van de aangevallen systemen hadden. Welke landen achter de aanvallen zitten, is niet bekendgemaakt, maar vanzelfsprekend worden Rusland en China het meest verdacht.
De eerste aanvallen met Arcane Door zouden al in november 2023 zijn uitgevoerd, maar dus pas in januari van dit jaar zijn ontdekt. Inmiddels heeft Cisco patches uitgebracht die de kwetsbaarheden moeten wegnemen. De securitytoezichthouders van de diverse landen roepen bedrijven daarom met klem op deze patches zo snel mogelijk te installeren.
Niet alleen apparaten van Cisco zouden zijn getroffen, maar ook die van Microsoft. Microsoft zelf heeft hierop nog niet gereageerd.
Lees ook: Cisco waarschuwt voor brute-force-aanvallen op VPN- en SSH-toepassingen