Sicherheitsforscher haben eine ArcaneDoor genannte Kampagne aufgedeckt, mit der staatlich gesponserte Akteure versuchten, verwundbare Cisco ASA VPNs anzugreifen und über Schwachstellen einzudringen. Die Woche haben Sicherheitsforscher von Cisco Talos vor dieser Kampagne gewarnt und Betreiber von Cisco-Produkten aufgefordert, die betreffenden Sicherheitsupdates, die seit langem verfügbar sind, einzuspielen.
Anzeige
Warnung von CERT-Bund & Co.
Seit Anfang 2024 haben das kanadische Zentrum für Cybersicherheit (Cyber Centre), das australische Cybersicherheitszentrum des Signaldirektorats und das britische Nationale Cybersicherheitszentrum (NCSC) laufende böswillige Cyber-Aktivitäten ausgewertet. Diese Angriffe zielen dabei auf virtuelle private Netzwerkdienste (VPN) ab, die von Regierungen und kritischen nationalen Infrastrukturnetzen weltweit genutzt werden.
Diese Aktivitäten deuten auf Spionage durch einen gut ausgerüsteten und hochentwickelten staatlichen Akteur hin. Es gibt keine Anzeichen dafür, dass diese Bedrohungsaktivität derzeit zur Vorbereitung eines störenden oder zerstörerischen Angriffs auf Computernetze genutzt wird, heißt es in dieser kanadischen Sicherheitsmeldung. CERT Bund hat diese Woche eine entsprechende Warnung veröffentlicht (siehe folgender Tweet).
Am 24. April 2024 veröffentlichte der Hersteller Cisco drei Advisories zu Schwachstellen in seinem Produkt Cisco ASA (Adaptive Security Appliance).
Anzeige
- CVE-2024-20353: Cisco Adaptive Security Appliance and Firepower Threat Defense Software Web Services Denial of Service Vulnerability
- CVE-2024-20358: Cisco Adaptive Security Appliance and Firepower Threat Defense Software Command Injection Vulnerability
- CVE-2024-20359: Cisco Adaptive Security Appliance and Firepower Threat Defense Software Persistent Local Code Execution Vulnerability
Auslöser waren Beobachtungen, wonach zwei der Schwachstellen bereits in gezielten Attacken verwendet werden. Die Schwachstelle CVE-2024-20359 versetzt einen lokalen Angreifenden in die Lage, mit hohen Berechtigungen Code ausführen zu können. In diesem Zusammenhang wurde bereits die Platzierung von persistenten Webshells durch die Angeifer entdeckt. Gemäß Common Vulnerability Scoring System (CVSS) erhält die Sicherheitslücke eine Bewertung von 6.0 (mittlere Kritikalität).
CVE-2024-20353 ermöglicht Denial-of-Service Attacken aus der Ferne und wurde nach CVSS mit 8.6 (hohe Kritikalität) bewertet. Mit der Command-Injection Schwachstelle CVE-2024-20358 wurde außerdem eine weitere Verwundbarkeit bekannt, deren CVSS-Score bei 6.0 liegt. Hinweise auf eine Ausnutzung liegen Cisco zum aktuellen Zeitpunkt jedoch nicht vor.
Den Veröffentlichungen vorangegangen waren Untersuchungen von Ciscos Product Security Incident Response Team (PSIRT) sowie der Threat Intelligence Sparte des Unternehmens, Cisco Talos, nachdem diese im Januar 2024 Hinweise auf den Sachverhalt erhalten hatten.
Seit Anfang 2024 haben (laut dieser Meldung) das kanadische Zentrum für Cybersicherheit (Cyber Centre), das australische Cybersicherheitszentrum des Signaldirektorats und das britische Nationale Cybersicherheitszentrum (NCSC) laufende böswillige Cyber-Aktivitäten ausgewertet, die auf virtuelle private Netzwerkdienste (VPN) abzielen, die von Regierungen und kritischen nationalen Infrastrukturnetzen weltweit genutzt werden. Diese Aktivitäten deuten auf Spionage durch einen gut ausgerüsteten und hochentwickelten staatlichen Akteur hin. Es gibt keine Anzeichen dafür, dass diese Bedrohungsaktivität derzeit zur Vorbereitung eines störenden oder zerstörerischen Angriffs auf Computernetze genutzt wird.
In Kooperation mit mehreren internationalen Partnern ergaben die Analysen, dass Täter mithilfe einer sehr ausgefeilten Angriffsvariante in der Lage waren, eine kleine Anzahl an Systemen bei Kunden zu kompromittieren und Daten zu exfiltrieren. Betroffen waren Behörden und Unternehmen aus den Kritischen Infrastrukturen auf der ganzen Welt. Cisco Talos nennt die Kampagne ArcaneDoor und hat die Details hier beschrieben. Von Cisco gibt es inzwischen Sicherheitsupdates, um die beiden Zero-Day-Schwachstellen zu schließen. Cisco empfiehlt nun allen Kunden dringend, ihre Geräte auf die korrigierte Software zu aktualisieren, um alle eingehenden Angriffe zu blockieren. Weiterhin sollen die Systemprotokolle auf Anzeichen für ungeplante Neustarts, nicht autorisierte Konfigurationsänderungen oder verdächtige Aktivitäten mit Anmeldeinformationen überwacht werden. Details sind den verlinkten Beiträgen zu entnehmen.
Anzeige