美国APT 利用ASA和FTD防火墙的两个零日漏洞入侵政府网络

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

国家级行动者利用ASA和FTD防火墙的两个零日漏洞入侵政府网络

Cisco Talos警告称，自2023年11月以来，国家级行动者UAT4356（又称STORM-1849）一直在利用自适应安全设备（ASA）和Firepower威胁防御（FTD）防火墙的两个零日漏洞入侵全球政府网络。

Cisco Talos的研究人员将这次网络间谍活动命名为ArcaneDoor。

在2024年初，一名客户联系Cisco报告了与其Cisco自适应安全设备（ASA）相关的可疑活动。PSIRT和Talos启动了调查以支持客户。

专家们发现，UAT4356组部署了两个后门，分别称为“Line Runner”和“Line Dancer”。

Cisco报告称，攻击者使用的复杂攻击链影响了一小部分客户。专家们尚未确定初始攻击向量，但他们发现威胁行为者在这些攻击中利用了两个漏洞（CVE-2024-20353（拒绝服务）和CVE-2024-20359（持续本地代码执行））作为零日漏洞。

Line Dancer是一个内存中的implant，充当内存驻留的shellcode解释器，允许攻击者执行任意的shellcode负载。在受Compromise的ASA设备上，攻击者利用host-scan-reply字段传递shellcode，绕过了对CVE-2018-0101的利用需求。通过将指针重定向到Line Dancer解释器，攻击者可以通过POST请求与设备交互，无需进行身份验证。威胁行为者使用Line Dancer执行各种命令，包括禁用syslog、提取配置数据、生成数据包捕获以及执行CLI命令。此外，Line Dancer还钩入了崩溃转储和AAA过程，以逃避法医分析并建立远程访问VPN隧道。

Line Runner允许攻击者在受Compromise的ASA设备上保持持久性。它利用与VPN客户端预加载相关的传统功能，在启动时搜索disk0:上的特定文件模式，触发操作。一旦检测到，它将解压并执行Lua脚本，提供持久性基于HTTP的后门访问。这个后门可以在重启和升级后幸存下来，使威胁行为者能够保持控制。此外，观察到Line Runner正在检索由Line Dancer组件促进的分阶段信息。

“ArcaneDoor是国家支持的行动者针对多个供应商的边界网络设备的最新例子。这些设备受到这些行动者的垂涎，它们是针对间谍活动的入侵点。作为数据进出网络的关键路径，这些设备需要定期和及时地打补丁；使用最新的硬件和软件版本和配置；并且从安全的角度密切监视。” Cisco发布的警报中包含了威胁指标（IOCs）。“在这些设备上建立立足点使行动者能够直接转入组织内部，重新路由或修改流量并监视网络通信。”

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：美国APT 利用ASA和FTD防火墙的两个零日漏洞入侵政府网络