警报：思科 ASA 防火墙平台遭遇ArcaneDoor0day攻击

关键词

国家支持的专业黑客团队利用思科 ASA 防火墙平台至少两个0day漏洞，植入恶意软件于电信和能源部门网络。思科周三发布警告。

据思科 Talos 报告显示，攻击者正在针对某些设备上运行的思科自适应安全设备（ASA）或思科 Firepower 威胁防御（FTD）产品中的软件缺陷进行攻击。他们利用这些漏洞植入恶意软件、执行命令，并有可能从受感染的设备中窃取数据。

虽然活动已被标记为ArcaneDoor，利用了思科产品中已记录的两个软件漏洞（CVE-2024-20353 和 CVE-2024-20359），但思科公司的恶意软件猎人仍然不确定攻击者是如何入侵的。

思科 Talos 表示：“我们尚未确定此次活动中使用的初始访问向量。迄今为止，我们尚未发现预身份验证利用的证据。”

思科解释说，ArcaneDoor是一个由国家级黑客组织发起的最新攻击示例，针对多个供应商的外围网络设备。针对这些攻击者而言，外围网络设备是进行间谍活动的理想入侵点。一旦在这些设备上获得立足点，攻击者可以直接进入组织、重新路由或修改流量，并监控网络通信。

在 2024 年初，一位未透露姓名的客户向思科的 PSIRT 团队报告了 ASA 防火墙产品的“安全问题”，引发了一项调查。在调查过程中，最终发现了黑客活动（由 Talos 追踪为 UAT4356，由微软威胁情报中心追踪为 STORM-1849）。

该公司指出：“攻击者采用了定制工具，表现出对间谍活动的明确关注，以及对其目标设备的深入了解。这种行为特征是成熟的国家资助攻击者的标志。”

思科指出，他们观察到黑客团队部署了两个后门，这些后门共同用于对目标进行恶意操作，包括配置修改、侦察、网络流量捕获/渗透以及潜在的横向移动。

该公司发出警告称：“思科已与受害者和情报合作伙伴合作，发现了一个复杂的攻击链，该攻击链用于植入定制恶意软件并在少数客户中执行命令。”

思科研究人员表示，通过网络遥测和情报合作伙伴提供的信息表明，黑客对刺探微软和其他供应商的网络设备感兴趣。

思科表示：“无论您的网络设备供应商是谁，现在都是确保设备已正确修补、登录到中央安全位置并配置为具有强大的多因素身份验证 (MFA) 的时候了。”