Sintesi

È stata rilevata una campagna di attacchi che prenderebbe di mira i software Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD).

Nota: secondo le dichiarazioni del vendor le CVE-2024-20353 e CVE-2024-20359 risultano sfruttate attivamente in rete.

Tipologia

• Remote Code Execution
• Information Disclosure

Descrizione e potenziali impatti

Il Cisco PSIRT e Cisco Talos hanno recentemente rilevato una campagna di distribuzione malware verso dispositivi di rete perimetrali del vendor Cisco: i principali target di tale campagna – denominata ArcaneDoor – risulterebbero essere entità governative.

Nel dettaglio, risulterebbero interessati i software Adaptive Security Appliance (ASA) e il Firepower Threat Defense (FTD), utilizzati nelle soluzioni Cisco per fornire funzionalità di IPS, VPN, firewall e altre caratteristiche di sicurezza per reti distribuite.

Il vendor, il quale ha rilasciato gli aggiornamenti per risolvere tre vulnerabilità (CVE-2024-20353, CVE-2024-20359, CVE-2024-20358), afferma che la CVE-2024-20353 e la CVE-2024-20359 – rispettivamente con score CVSS v3.x pari a 8.6 e 6.0 e di tipo “Command Injection” e “Remote Code Execution” – risulterebbero sfruttate attivamente nella campagna. La prima vulnerabilità, qualora sfruttata, potrebbe permettere l’inserimento di comandi malevoli tramite l’interfaccia web del software interessato; la seconda potrebbe consentire a un utente locale l’esecuzione di codice sul dispositivo interessato (l’attaccante deve già avere accesso al dispositivo per sfruttare tale vulnerabilità).

Prodotti e versioni affette

• Cisco Adaptive Security Appliance (ASA)
• Cisco Firepower Threat Defense (FTD)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i software interessati.

Inoltre, si evidenzia che il vendor ha reso disponibili delle linee guida al fine di rilevare l’eventuale compromissione dei sistemi e ripristinare l’integrità dei dispositivi con software ASA o FTD potenzialmente compromessi. Per verificare l’integrità dei propri dispositivi, in linea con le dichiarazioni del vendor, si raccomanda di seguire i passaggi della sezione “Additional Information” del bollettino di sicurezza riportato nella sezione Riferimenti.

Oltre agli avvisi di sicurezza, Cisco Talos ha pubblicato un post sul proprio blog, riportato nella sezione Riferimenti, che mette in evidenza gli indicatori di compromissione (IoC) di ArcaneDoor, fornisce tutti i dettagli oggi disponibili sulle tattiche, tecniche e procedure di attacco e un set completo di risorse per rilevare e bloccare l’attacco.

Identificatori univoci vulnerabilità

CVE-2024-20353

CVE-2024-20359

CVE-2024-20358

Riferimenti

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-cmd-inj-ZJV8Wysm

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.