سوء استفاده هکرهای ArcaneDoor از آسیب پذیری های روز صفر در فایروال‌های ASA و FTD سیسکو

سیسکو، بیست و چهارم آوریل ۲۰۲۴ گزارشی را در خصوص دو آسیب‌ پذیری روز صفر (CVE-2024-20353  و CVE-2024-20359 ) در فایروال‌های ASA[1] وFTD [2] این شرکت منتشر کرد.

یک گروه سایبری که توسط سیسکو تالوس و مایکروسافت به ترتیب با نام‌های UAT4356 و STORM-1849 شناخته می‌شود، حملات جاسوسی سایبری را تحت عنوان ArcaneDoor دنبال می‌کند. این گروه از نوامبر 2023 از آسیب‌ پذیری های مذکور برای نفوذ به شبکه‌های دولتی در سراسر جهان سوء استفاده کرده است.

سیسکو در اوایل ژانویه 2024 از حملات ArcaneDoor آگاه بود و شواهدی یافت که نشان می‌داد مهاجمان حداقل از ژوئیه 2023، اکسپلویت‌هایی را برای سوء استفاده از دو آسیب‌ پذیری آزمایش نموده و توسعه داده‌اند.

این دو آسیب‌ پذیری روز صفر به هکرها اجازه می‌دهند تا بدافزارهای جدیدی را بر روی فایروال‌های ASA و FTD مستقر و دسترسی مناسبی را برای خود ایجاد کنند.

یکی از بدافزارهای مورد استفاده در این نفوذ، Line Dancer، یک لودر shellcode در حافظه می‌باشد که به تحویل و اجرای پیلودهای دلخواه به منظور غیرفعال سازی سیستم لاگ، ایجاد دسترسی از راه دور و استخراج پکت‌های ضبط شده کمک می‌کند.

ایمپلنت دوم، بکدور Line Runner می‌باشد که دارای مکانیزم‌های متعددی برای جلوگیری از شناسایی است و به مهاجمان اجازه می‌دهد تا کد Lua دلخواه را بر روی سیستم های هک شده اجرا کنند.

UAT4356، دو بکدور Line Runner و Line Dancer را به عنوان کامپوننت‌های اصلی این دسته حملات به کار برده است. روش دقیق دسترسی اولیه همچنان ناشناخته است اما پیچیدگی ماهیت ابزارهای به کار گرفته شده و هدف‌گیری دقیق آن، نشان‌ دهنده یک گروه سایبری تحت حمایت دولت می‌باشد.

سیسکو، بیست و چهارم آوریل، به‌ روزرسانی‌های امنیتی را برای رفع این دو آسیب‌ پذیری روز صفر منتشر کرد و با تاکید بر اهمیت اقدامات امنیتی پیشگیرانه، از سازمان‌ها درخواست نمود تا دریافت بروزسانی ها و پچ های امنیتی را در اولویت خود قرار دهند، شیوه‌های جدید ثبت لاگ را پیاده‌سازی و مکانیزم‌ های احراز هویت چندعاملی سختگیرانه را اعمال کنند.

ادمین های سیسکو می‌توانند لاگ های سیستم را برای یافتن هرگونه نشانه‌ای از راه اندازی مجدد غیرمنتظره دستگاه، تغییرات پیکربندی غیرمجاز و یا فعالیت‌های مشکوک مورد بررسی قرار دهند.

سیسکو همچنین هجدهم مارس 2024 در خصوص افزایش حملات بروت فورس که دستگاه‌های مختلف از جمله سرویس‌های VPN، SSH و اینترفیس‌های احراز هویت اپلیکیشن‌های وب را مورد هدف قرار می‌دادند، هشدار صادر کرد و مطالبی را به اشتراک گذاشت که گزارش آن از اینجا قابل دسترس می‌باشد.

[1] Appliance Security Appliance

[2] Firepower Threat Defense

منابع