Blogg
Cisco ASA och FTD under attack
I början av 2024 blev Cisco Product Security Incident Response Team (PSIRT) medvetna om attacker riktade mot specifika enheter som använde Cisco Adaptive Security Appliance (ASA) eller Cisco Firepower Threat Defense (FTD). Angriparna utnyttjade sårbarheter i programvaran för att plantera skadlig kod, köra kommandon och potentiellt exfiltrera data från de komprometterade systemen.
Cisco ASA och FTD under attack
I början av 2024 fick Cisco Product Security Incident Response Team (PSIRT) kännedom om attacker som riktade sig mot vissa enheter som körde programvaran Cisco Adaptive Security Appliance (ASA) eller programvaran Cisco Firepower Threat Defense (FTD) för att implantera skadlig kod, utföra kommandon och potentiellt exfiltrera data från de komprometterade enheterna.
Denna attackkampanj har fått namnet ArcaneDoor. Även om Cisco ännu inte har identifierat den första attackvektorn åtgärdar de mjukvaran som identifieras med svagheter. Se följande tabell för vilka mjukvaror som kan göra det möjligt för en angripare att implantera skadlig kod på en drabbad enhet. Av dessa svagheter i programvaran använde angriparen CVE-2024-20353 och CVE-2024-20359 i denna attackkampanj.
Cisco rekommenderar starkt att alla kunder uppgraderar till patchad programvaruversioner.
| Cisco ASA Release | First Fixed Release | Cisco FTD Release | First Fixed Release |
| 9.12 | 9.12.4.67 | 6.4.0 | 6.4.0.18 (ETA Apr 2024) |
| 9.14 | 9.14.4.24 | 6.6.0 | 6.6.7.2 (ETA Apr 2024) |
| 9.16 | 9.16.4.57 | 7.0 | 7.0.6.2 |
| 9.17 | 9.17.1.x (ETA 24-04-24) | 7.1 | Migrate to fixed release |
| 9.18 | 9.18.4.22 | 7.2 | 7.2.6 |
| 9.19 | 9.19.1.28 | 7.3 | 7.3.1.2 (ETA Apr 2024) |
| 9.20 | 9.20.2.10 | 7.4 | 7.4.1.1 |
Detaljer
Den 24 april 2024 släppte Cisco följande Cisco ASA- och FTD-programvarusäkerhetsrekommendationer som åtgärdar svagheter som utnyttjades i dessa attacker:
| Cisco Security Advisory | CVE ID | Security Impact Rating | CVSS Base Score |
| Cisco Adaptive Security Appliance and Firepower Threat Defense Software Web Services Denial of Service Vulnerability | CVE-2024-20353 | High | 8.6 |
| Cisco Adaptive Security Appliance and Firepower Threat Defense Software Persistent Local Code Execution Vulnerability | CVE-2024-20359 | High | 6.0 |
| Cisco Adaptive Security Appliance and Firepower Threat Defense Software Command Injection Vulnerability | CVE-2024-20358 | Medium | 6.0 |
Ytterligare information
Mer information om ArcaneDoor-kampanjen finns i Cisco Talos Threat Advisory ArcaneDoor: Ny spionagefokuserad kampanj riktar sig mot perimeternätverksenheter.
Alla kunder rekommenderas att uppgradera till en patchad programvaruversion.
Kunder kan använda följande steg för att verifiera integriteten för sina Cisco ASA- eller FTD-enheter:
- Logga in på den misstänkta enhetens CLI.
Notera: På enheter som kör Cisco FTD-programvara, byt till Cisco ASA CLI med system support diagnostic-cli kommandot. - Använd kommandot enable för att ändra till privilegierat EXEC-läge.
Notera: På enheter som kör Cisco FTD-programvara är aktiveringslösenordet tomt. - Samla in utdata från följande kommandon:
– show version
– verify /SHA-512 system:memory/text
– debug menu memory 8 - Öppna ett ärende med Cisco Technical Assistance Center (TAC). I det här fallet refererar du till nyckelordet ArcaneDoor och laddar upp de data som samlades in i steg 3.
Källa: Cisco Event Response: Attacks Against Cisco Firewall Platforms
Om författaren
Octavio Harén
CISO & Business Area Manager Cybersecurity
Octavio Harén är affärsområdeschef för cybersäkerhet och CISO på Conscia Sverige. Han ansvarar både för Conscias interna informationssäkerhetsprogram och för att leda den strategiska satsningen på cybersäkerhet – med fokus på att utveckla lösningar och erbjudanden som möter kundernas mest komplexa säkerhetsutmaningar. Med över tio års erfarenhet inom IT-infrastruktur och cybersäkerhet har Octavio etablerat sig […]
Relaterat
