Hackers usam dia zero da Cisco para violar redes de governos

Hackers começaram a se infiltrar em dispositivos vulneráveis no início de novembro de 2023 em uma campanha de espionagem cibernética rastreada como ArcaneDoor
Da Redação
25/04/2024

A Cisco emitiu alerta nesta quarta-feira, 24, informando que um grupo de hackers apoiado por um Estado-nação, não identificado, tem explorado duas vulnerabilidades de dia zero nos firewalls Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) desde novembro de 2023 para violar redes governamentais em todo o mundo.

Os hackers, identificados como UAT4356 pela Cisco Talos e STORM-1849 pela Microsoft, começaram a se infiltrar em dispositivos vulneráveis ​​no início de novembro de 2023 em uma campanha de espionagem cibernética rastreada como ArcaneDoor.

Embora a Cisco ainda não tenha identificado o vetor de ataque inicial, ela descobriu e corrigiu duas falhas de segurança — CVE-2024-20353 (negação de serviço) e CVE-2024-20359 (execução local persistente de código) — que os operadores da ameaça usaram como dias zero nesses ataques.

A Cisco tomou conhecimento da campanha ArcaneDoor no início de janeiro e encontrou evidências de que os invasores testaram e desenvolveram explorações para atingir os dois dias zero desde ao menos julho de 2023.

As duas vulnerabilidades permitiram que os operadores de ameaças implantassem malware anteriormente desconhecido e mantivessem a persistência em dispositivos ASA e FTD comprometidos.

Em um comunicado conjunto publicado pelo Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, Centro Canadense de Segurança Cibernética (Cyber Centre) e pelo Centro Australiano de Segurança Cibernética da Diretoria de Sinais da Austrália afirma que os operadores da ameaça utilizaram o acesso para, entre outras coisas, gerar versões de texto do arquivo de configuração do dispositivo para que possa ser exfiltrado por meio de solicitações da web e controlar a ativação e desativação do serviço syslog dos dispositivos para ofuscar comandos adicionais. 

Veja isso
Empresa chinesa hackeou governos estrangeiros por 8 anos
Governos e gigantes da tecnologia se unem contra venda de spyware

Os hackers também procederam a modificação da configuração de autenticação, autorização e contabilidade (AAA) para que dispositivos específicos controlados por eles que correspondam a uma identificação específica possam ter acesso dentro do ambiente impactado.

A empresa lançou atualizações de segurança nesta quarta-feira para corrigir os dois dias zero e agora “recomenda fortemente” a todos os clientes que atualizem seus dispositivos para software fixo para bloquear quaisquer ataques recebidos. A Cisco também fornece instruções no comunicado sobre como verificar a integridade dos dispositivos ASA ou FTD.

Mais detalhes sobre as duas falhas de segurança podem ser obtidos clicando em CVE-2024-20353 e CVE-2024-20359. No blog da Cisco Talos há mais detalhes sobre a campanha de espionagem ArcaneDoor.

Compartilhar:

Últimas Notícias