Risques
- Déni de service à distance
- Exécution de code arbitraire
Systèmes affectés
- Cisco Adaptive Security Appliance (ASA) sans les derniers correctifs de sécurité, se référerer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)
- Cisco Firepower Threat Defense (FTD) sans les derniers correctifs de sécurité, se référerer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)
Résumé
Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des vulnérabilités affectant les équipements de sécurité ASA et FTD.
Deux d'entre eux concernent les vulnérabilités CVE-2024-20353 et CVE-2024-20359 qui sont activement exploitées dans le cadre d'attaques ciblées.
La vulnérabilité CVE-2024-20359 permet à un utilisateur authentifié avec des droits administrateur d'exécuter du code arbitraire avec les privilèges root.
En effet, si l'attaquant parvient à écrire un fichier malveillant sur le système de fichier du disk0:, cela lui permet d'exécuter son code au prochain redémarrage de l'équipement. Cisco indique que l'attaquant peut exploiter la vulnérabilité CVE-2024-20353 pour déclencher son redémarrage.
Dans son billet de blogue [1], Cisco Talos détaille l'historique des exploitations et indique que les premières infections constatées remontent à début janvier 2024.
L'éditeur indique ne pas avoir connaissance du vecteur initial d'infection. Toutefois une fois sur l'équipement, l'attaquant exploite ces deux vulnérabilités pour mettre en place un implant, nommé Line Runner par Talos, qui est une porte dérobée persistante.
La présence d'un autre implant, Line Dancer, a été constaté sur des équipements compromis.
Celui-ci est présent uniquement en mémoire et permet à l'attaquant :
- de désactiver les journaux d'activité système ;
- de récupérer des élements de configuration ;
- d'effectuer et d'exfiltrer des captures réseaux ;
- d'exécuter des commandes arbitraires ;
- de s'insérer dans le processus de vidage après erreur (crash dump) afin de réduire la trace de son activité ;
- de s'insérer dans le processus d'authentification, authaurisation et tracabilité (Authentication, Authorization and Accounting, AAA) afin de contourner ces mécanismes.
Cisco conseille dans un premier temps d'appliquer les mises à jour de sécurité. Avant de mener les actions d'investigations et de remédiations préconisées par Talos [1][2], le CERT-FR recommande de déconnecter l'équipement d'Internet.
Talos insiste sur le fait de ne pas redémarrer l'équipement ou tenter de récupérer une image mémoire si les investigations initiales montrent une modification des droits d'exécution de certaines zones mémoire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-asaftd-persist-rce-FLsNXF4h du 24 avril 2024 du 28 juin 2024 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h
- Bulletin de sécurité Cisco cisco-sa-asaftd-websrvs-dos-X8gNucD2 du 24 avril 2024 du 28 juin 2024 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
- [1] Billet de blogue Cisco Talos du 24 avril 2024 https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/
- [2] Procédure d'investigation de Cisco sur les équipements ASA https://sec.cloudapps.cisco.com/security/center/resources/forensic_guides/asa_forensic_investigation.html
- Avis CERTFR-2024-AVI-0307 du 15 avril 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0347/
- Communication Cisco https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response
- Référence CVE CVE-2024-20353 https://www.cve.org/CVERecord?id=CVE-2024-20353
- Référence CVE CVE-2024-20359 https://www.cve.org/CVERecord?id=CVE-2024-20359