Angreifer zielen auf Perimeter-Netzwerkgeräte, wie Firewalls um in Unternehmen einzudringen. Cisco hat die Backdoors Line Runner und Line Dancer identifiziert. Das sind 0-Day-Schwachstellen die Admins dringend patchen sollten. Die Backdoors gehören zur identifizierten Kampagne ArcaneDoor.
Cisco hat zwei Schwachstellen identifiziert, die in der Kampagne ArcaneDoor ausgenutzt wurden (CVE-2024-20353 CVSS 8.6 und CVE-2024-20359 CVSS 6.0). Patches für diese Schwachstellen sind bereits in den veröffentlichten Cisco Security Advisories aufgeführt.
ArcaneDoor ist eine Kampagne, die das jüngste Beispiel dafür ist, wie staatlich geförderte Akteure Perimeter-Netzwerkgeräte verschiedener Anbieter ins Visier nehmen. Perimeter-Netzwerkgeräte sind bei diesen Akteuren begehrt und der perfekte Angriffspunkt für spionageorientierte Kampagnen. Wenn ein Akteur auf diesen Geräten Fuß fasst, kann er direkt in eine Organisation eindringen, den Datenverkehr umleiten oder ändern und die Netzwerkkommunikation überwachen.
Kampagne ArcaneDoor zielt auf einzelne Unternehmen
In den letzten zwei Jahren hat Cisco einen dramatischen und anhaltenden Anstieg der gezielten Angriffe auf diese Geräte in Bereichen wie Telekommunikationsanbietern und Organisationen des Energiesektors erlebt – kritische Infrastruktureinrichtungen, die wahrscheinlich strategische Ziele für viele ausländische Regierungen sind.
Anfang 2024 wandte sich ein aufmerksamer Kunde sowohl an Ciscos Product Security Incident Response Team (PSIRT) als auch an Cisco Talos, um Sicherheitsbedenken bezüglich ihrer Cisco Adaptive Security Appliances (ASA) zu besprechen. PSIRT und Talos schlossen sich zusammen, um eine Untersuchung einzuleiten, um den Kunden zu unterstützen. Während dieser Untersuchung, an der schließlich mehrere externe Geheimdienstpartner beteiligt waren und die sich über mehrere Monate erstreckte, wurde einen bisher unbekannten Akteur identifiziert, der von Talos als UAT4356 und vom Microsoft Threat Intelligence Center als STORM-1849 verfolgt wird. Dieser Akteur nutzte maßgeschneiderte Werkzeuge, die einen klaren Fokus auf Spionage und ein tiefgreifendes Wissen über die Geräte zeigten, auf die er abzielte – Kennzeichen eines hochentwickelten, staatlich geförderten Akteurs.
UAT4356 setzte als Komponenten dieser Kampagne zwei Backdoors ein: „Line Runner“ und „Line Dancer“, die gemeinsam für die Durchführung bösartiger Aktionen auf das Ziel eingesetzt wurden.
Kritische Fixes verfügbar
In Zusammenarbeit mit Opfern und Geheimdienstpartnern hat Cisco eine ausgeklügelte Angriffskette aufgedeckt, die dazu verwendet wurde, maßgeschneiderte Malware zu implantieren und Befehle bei einer kleinen Gruppe von Kunden auszuführen. Obwohl der ursprüngliche Angriffsvektor nicht identifiziert werden konnte, wurden die beiden Schwachstellen CVE-2024-20353 und CVE-2024-20359 identifiziert.
Cisco stellt in einem Blog-Artikel eine genaue Zeitleiste zur Verfügung. Sie zeigt wie ausgeklügelt die Angreifer bei der ArcaneDoor-Kampagne vorgegangen sind.
Mehr bei Cisco.com
Über Cisco Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.