Cisco ASA och FTD under attack

I början av 2024 fick Cisco Product Security Incident Response Team (PSIRT) kännedom om attacker som riktade sig mot vissa enheter som körde programvaran Cisco Adaptive Security Appliance (ASA) eller programvaran Cisco Firepower Threat Defense (FTD) för att implantera skadlig kod, utföra kommandon och potentiellt exfiltrera data från de komprometterade enheterna.

Denna attackkampanj har fått namnet ArcaneDoor. Även om Cisco ännu inte har identifierat den första attackvektorn åtgärdar de mjukvaran som identifieras med svagheter. Se följande tabell för vilka mjukvaror som kan göra det möjligt för en angripare att implantera skadlig kod på en drabbad enhet. Av dessa svagheter i programvaran använde angriparen CVE-2024-20353 och CVE-2024-20359 i denna attackkampanj.

Cisco rekommenderar starkt att alla kunder uppgraderar till patchad programvaruversioner.

Cisco ASA Release	First Fixed Release	Cisco FTD Release	First Fixed Release
9.12	9.12.4.67	6.4.0	6.4.0.18 (ETA Apr 2024)
9.14	9.14.4.24	6.6.0	6.6.7.2 (ETA Apr 2024)
9.16	9.16.4.57	7.0	7.0.6.2
9.17	9.17.1.x (ETA 24-04-24)	7.1	Migrate to fixed release
9.18	9.18.4.22	7.2	7.2.6
9.19	9.19.1.28	7.3	7.3.1.2 (ETA Apr 2024)
9.20	9.20.2.10	7.4	7.4.1.1

Detaljer

Den 24 april 2024 släppte Cisco följande Cisco ASA- och FTD-programvarusäkerhetsrekommendationer som åtgärdar svagheter som utnyttjades i dessa attacker:

Cisco Security Advisory	CVE ID	Security Impact Rating	CVSS Base Score
Cisco Adaptive Security Appliance and Firepower Threat Defense Software Web Services Denial of Service Vulnerability	CVE-2024-20353	High	8.6
Cisco Adaptive Security Appliance and Firepower Threat Defense Software Persistent Local Code Execution Vulnerability	CVE-2024-20359	High	6.0
Cisco Adaptive Security Appliance and Firepower Threat Defense Software Command Injection Vulnerability	CVE-2024-20358	Medium	6.0

Ytterligare information

Mer information om ArcaneDoor-kampanjen finns i Cisco Talos Threat Advisory ArcaneDoor: Ny spionagefokuserad kampanj riktar sig mot perimeternätverksenheter.

Alla kunder rekommenderas att uppgradera till en patchad programvaruversion.

Kunder kan använda följande steg för att verifiera integriteten för sina Cisco ASA- eller FTD-enheter:

Logga in på den misstänkta enhetens CLI.
Notera: På enheter som kör Cisco FTD-programvara, byt till Cisco ASA CLI med system support diagnostic-cli kommandot.
Använd kommandot enable för att ändra till privilegierat EXEC-läge.
Notera: På enheter som kör Cisco FTD-programvara är aktiveringslösenordet tomt.
Samla in utdata från följande kommandon:
– show version
– verify /SHA-512 system:memory/text
– debug menu memory 8
Öppna ett ärende med Cisco Technical Assistance Center (TAC). I det här fallet refererar du till nyckelordet ArcaneDoor och laddar upp de data som samlades in i steg 3.

Kontakta oss om du behöver hjälp

Källa: Cisco Event Response: Attacks Against Cisco Firewall Platforms

Attacker mot Ciscos brandväggsplattformar

NYHETSBREV

Kostnadsfria guider (pdf)

Whitepaper: Ryska hackare med statligt stöd

Whitepaper: Den mänskliga faktorn i din cybersäkerhet

Whitepaper: Cyberhoten från Ukrainakriget – vad du behöver veta

Vad är AIOps? En guide till AI för IT-avdelningen

TLS: Så skyddar du dig när Internet blir mörkt

Relevanta webinarer

Inspelat webinar: Zero Trust säkerhetswebinar med Cisco 27/3 – Nolltillit du KAN lita på

Inspelat webinar: Skydda och förbättra interaktion mellan IoT, OT och IT

Inspelat webinar: Skydda dina hybrida medarbetare med Palo Alto Prisma Access

Områden

Kategorier