吳明宜思科 (Cisco) 警告,它的防火牆去年 11 月起遭到「進階」國家駭客發動間諜活動攻擊,而且可能攻擊其他廠牌的網路裝置。
這波行動被命名為 ArcaneDoor ,是由安全一月偵測到並於本周公布研究。加拿大、英國和澳洲安全主管機關聯合公告指出,攻擊者鎖定政府和基礎架構網路使用的 VPN 服務。
思科 Talos 將駭客稱為 UAT4356,微軟稱之為 STORM-1849 。思科不願說明是哪個國家的駭客,但同時間,報導指出俄羅斯和中國政府支持的駭客正在對政府機關和重要基礎設施的思科設備發動攻擊。
根據思科 Talos 研究人員指出,這群國家駭客利用為思科設備訂製的工具發動攻擊,植入自製惡意程式碼及執行指令,顯示對產品的了解。這波攻擊是鎖定防火牆 Adaptive Security Appliance (ASA) 及 Firepower Threat Defense (FTD) 的 CVE-2024-20353 及 CVE-2024-20359 二項漏洞。前者出在管理及 VPN web server,允許未授權攻擊者下達指令使設備不預期重新載入,造成阻斷服務攻擊 (DoS),風險值 CVSS 8.6 。後者則讓經授權的本地攻擊者以根權限執行任意程式碼。風險值 CVSS 6.0 。但濫用二者都需要管理員權限。
Talos 並說,根據合作夥伴的遙測資料顯示,攻擊者對微軟及其他網路設備品牌也有興趣。微軟並非大家熟知的防火牆業者,它的設備僅有 Azure 上的「虛擬防火牆」。但微軟未對此置評。
被植入的惡意程式包括記憶體內 (in-memory) 嵌入程式 Line Dancer,作用是上傳及執行 shellcode 程式。研究人員偵測到這程式會關閉 syslog,並顯示配置、執行 CLI 指令,並導致程式行程毁損,這能導致裝置重開機,並且避免安全分析。第二是滲透式 web shell 後門程式 Line Runner,能長期駐留在受害機器上,上傳與執行任意 Lua 腳本程式。
美國網路安全暨基礎架構管理署 (CISA) 也發出公告,強烈建議企業 IT 安裝必要更新、檢查有無惡意活動,並通報 CISA 。
來源:The Register