Über Zero-Day-Schwachstellen: Cisco-Firewalls werden seit Monaten attackiert

Zwei Zero-Day-Schwachstellen in Cisco-Firewalls werden wohl schon seit mehreren Monaten von einer staatlich unterstützten Hackergruppe ausgenutzt, um weltweit in Netzwerke von Regierungsbehörden einzudringen. Wie der Netzwerkausrüster in einer Sicherheitsmeldung erklärt, zielen die Anfang 2024 entdeckten Angriffe auf die Cisco-Produkte Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) ab.

Im Rahmen einer Arcanedoor genannten Angriffskampagne versuchen die Angreifer demnach Malware einzuschleusen, bösartige Befehle auszuführen und Daten von kompromittierten Systemen zu exfiltrieren. Dafür werden laut Cisco unter anderem die beiden Zero-Day-Schwachstellen CVE-2024-20353 und CVE-2024-20359 ausgenutzt.

Bei CVE-2024-20353 handelt es sich um eine Denial-of-Service-Schwachstelle, die von einem nicht authentifizierten Angreifer durch einen speziell gestalteten HTTP-Request ausgelöst werden kann. Durch CVE-2024-20359 hingegen kann ein Angreifer mit Adminrechten auf dem Zielsystem Persistenz erlangen, um auch über den Neustart des Gerätes hinaus beliebigen Code mit Root-Rechten auszuführen.

Mindestens seit November 2023 ausgenutzt

Die Sicherheitsforscher von Cisco Talos gehen bezüglich Arcanedoor weiter ins Detail. In einem am Mittwoch veröffentlichten Blogbeitrag erklärt das Forscherteam, die als UAT4356 oder Storm-1849 bezeichnete und zuvor noch gänzlich unbekannte Hackergruppe hinter der Angriffskampagne weise Merkmale eines fortgeschrittenen staatlich gesponserten Akteurs auf – darunter tiefe Kenntnisse über die infiltrierten Systeme und der Einsatz maßgeschneiderter Tools mit einem klar erkennbaren Fokus auf Spionageaktivitäten.

Erste Angriffe von UAT4356 konnten die Forscher bis November 2023 zurückverfolgen. Die meisten Aktivitäten der Gruppe hätten aber zwischen Dezember 2023 und Anfang Januar 2024 stattgefunden. Entwickelt und getestet hätten die Angreifer ihre Angriffsmethode schon im Juli 2023.

Zum Werkzeugkasten der Hacker gehören nach Angaben der Forscher zwei Backdoors namens Line Runner und Line Dancer. Diese habe UAT4356 etwa eingesetzt, um Konfigurationsänderungen vorzunehmen, Netzwerkverkehr abzufangen, das jeweilige Zielnetz zu erkunden und darin weitere Systeme zu infiltrieren. Eine Liste der Kompromittierungsindikatoren (IOCs) ist im Blogbeitrag des Forscherteams zu finden.

Patches sind verfügbar

Für die genannten Zero-Day-Schwachstellen hat Cisco inzwischen Patches bereitgestellt. Administratoren wird empfohlen, diese zeitnah einzuspielen, sofern noch nicht geschehen. Darüber hinaus empfiehlt der Hersteller, die Integrität bestehender Cisco ASA- oder FTD-Systeme zu überprüfen. Genaue Anweisungen dafür sind in der Sicherheitsmeldung des Netzwerkausrüsters zu finden.

Die Forscher von Cisco Talos raten außerdem dazu, auch unabhängig von der eingesetzten Netzwerkhardware "dafür zu sorgen, dass die Geräte ordnungsgemäß gepatcht sind, Protokolle an einem zentralen und sicheren Ort erstellen und für eine starke Multi-Faktor-Authentifizierung (MFA) konfiguriert sind".