Cisco ASA/FTD のゼロデイ脆弱性:ArcaneDoor ハッカーが政府機関ネットワークへの侵入で悪用

ArcaneDoor hackers exploit Cisco zero-days to breach govt networks

2024/04/24 BleepingComputer — 4月24日に公開したアドバイザリで Cisco が警告しているのは、2023年11月以降において国家に支援されるハッカー・グループが、Adaptive Security Appliance (ASA) と Firepower Threat Defense (FTD) ファイアウォールに存在する、2つのゼロデイ脆弱性を悪用していたことだ。 それにより、世界中の政府機関のネットワークで、侵入が発生していたという。

Cisco Talos では UAT4356 として、Microsoft では STORM-1849 として追跡されているハッカーが、2023年11月初旬の ArcaneDoor サイバースパイ・キャンペーンにおいて、脆弱なエッジ・デバイスへの侵入を開始していたことが判明した。


現時点において、イニシャルの攻撃経路は特定されていない。しかし Cisco は、一連の攻撃で脅威アクターたちが、2つの脆弱性 CVE-2024-20353 (サービス拒否)/CVE-2024-20359 (永続的なローカル・コード実行) を、ゼロデイとして悪用していたことを発見して修正した。

2024年1月初旬に Cisco は、この ArcaneDoor キャンペーンを発見した。そして、遅くとも 2023年7月以降から攻撃者たちが、2つのゼロデイをターゲットとするエクスプロイトをテストし、開発していた証拠を突き止めた。

Cisco ファイアウォールのバックドアで悪用されていた

これらの2つの脆弱性を悪用する脅威アクターは、未知のマルウェアを展開し、侵害した ASA/FTD デバイス上で永続性を維持していた。

このマルウェアにおけるインプラントの1つである Line Dancer は、インメモリ・シェルコード・ローダであり、任意のシェルコード・ペイロードを配信/実行し、ロギングの無効化/リモート・アクセスの提供/キャプチャしたパケットの流出などを支援する。

2つ目のインプラントは、Line Runner と呼ばれる永続的なバックドアであり、検知を回避するための複数の防御回避メカニズムが搭載されており、攻撃者はハッキングしたシステム上で、任意の Lua コードを実行することが可能となる。

Cisco  は、「攻撃者は、スパイ活動に対して明確に焦点を絞っており、標的とするデバイスに関する深い知識を示す、特注のツールを利用していた。それらの特徴から、国家に支援される洗練された脅威アクターの仕業だと推測される。UAT4356 は、このキャンペーンのコンポーネントとして、2つのバックドア (Line Runner/Line Dancer) を展開/使用することで、設定変更/偵察/ネットワーク・トラフィックのキャプチャと流出などに加えて、さらなる攻撃のための横移動といった、悪意のアクションをターゲット上で実行した」と詳述している。

英国の NCSC (National Cyber Security Centre)/カナダの Cyber Centre (Centre for Cyber Security)/オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センターが、4月24日に公開した共同勧告によると、侵害したデバイスへのアクセス権を獲得した脅威アクターたちは、以下のアクションを実行していたという:

  • 対象デバイスのコンフィグ・ファイルのテキスト・バージョンを生成し、Web リクエストを通じて流出させる。
  • デバイスの syslog サービスの有効/無効を制御し、追加コマンドを難読化する。
  • 影響を受けた環境内で、認証/認可/アカウンティング (AAA) 設定を変更し、特定の識別情報を持つ脅威アクターによる、デバイスへのアクセスと制御を可能にする。
直ちにアップデートを!

4月24日に Cisco は、2つのゼロデイを修正するセキュリティ・アップデートをリリースした。そして、すべての顧客に対して、修正済みのソフトウェアでデバイスをアップグレードし、攻撃者による侵入をブロックするよう、強く推奨している。

さらに同社は、予定外の再起動/無許可の設定変更/不審なクレデンシャル活動の兆候などを確認するために、システムログを監視することも強く求めている。

Cisco は、「ネットワーク機器の種類や提供者に関係なく、それぞれのデバイスに適切なパッチが適用され、中央の安全な場所にログが記録され、強力な多要素認証 (MFA) が設定されていることを確認すべきである」と付け加えている。

Cisco は、このアドバイザリの中で、ASA/FTD デバイスの完全性を確認する方法についても説明している。

4月の初めに、世界中の Cisco/CheckPoint/Fortinet/SonicWall/Ubiquiti デバイス上の、VPN/SSH サービスを標的とする大規模なブルートフォース攻撃が発生したことについて、Cisco は警告を発している。また、3月に Cisco は、Secure Firewall デバイスに設定されたリモート・アクセス VPN (RAVPN) サービスを標的とする、パスワード・スプレー攻撃の緩和に関するガイダンスを公開している。

今年の1月に発見された、ArcaneDoor キャンペーンによる CVE-2024-20353/CVE-2024-20359 の悪用ですが、おそらく APT により操られているのだろうと思われます。よろしければ、Cisco + APT で検索も、ご利用ください。