关于“ArcaneDoor 黑客利用思科零日漏洞入侵政府网络”事件的研判分析

一、概述

　　​思科警告称，自2023年11月以来，一个国家支持的黑客组织一直在利用自适应安全设备(ASA)和火力威胁防御(FTD)防火墙中的两个零日漏洞入侵全球政府网络。

　　这些黑客被思科Talos认定为UAT4356，被微软认定为STORM-1849，于2023年11月初开始渗透易受攻击的边缘设备，这是一场被追踪为ArcaneDoor的网络间谍活动。

　　尽管思科尚未确定最初的攻击向量，但它发现并修复了两个安全漏洞-CVE-2024-20353(拒绝服务)和CVE-2024-20359(持久本地代码执行)，这些漏洞被威胁行为者用作这些攻击的零日。

二、被用于后门Cisco防火墙

　　这两个漏洞使威胁参与者能够部署以前未知的恶意软件，并在受损的ASA和FTD设备上保持持久性。

　　其中一个恶意软件植入程序Line Dancer是一个内存外壳代码加载程序，它可以帮助传递和执行任意外壳代码有效载荷，以禁用日志记录、提供远程访问和过滤捕获的数据包。

　　第二个植入物是一个名为Line Runner的持久后门，它具有多种防御规避机制以避免被检测，并允许攻击者在被黑客入侵的系统上运行任意Lua代码。

　　思科表示：“这位演员使用了定制的工具，证明了他对间谍活动的明确关注，并对他们瞄准的设备有深入的了解，这是一位老练的国家资助演员的标志。”。

　　“UAT4356部署了两个后门作为此次行动的组成部分，即‘Line Runner’和‘Line Dancer’，它们共同用于对目标进行恶意行动，包括配置修改、侦察、网络流量捕获/过滤和潜在的横向移动。”

　　英国国家网络安全中心、加拿大网络安全中心和澳大利亚信号局澳大利亚网络安全中心今天发布的一份联合公告称，恶意行为者利用其访问权限：

　　·生成设备配置文件的文本版本，以便通过网络请求进行过滤。

　　·控制所述设备系统日志服务的启用和禁用以混淆附加命令。

　　·修改所述认证、授权和计费(AAA)配置以使得可以向匹配特定标识的特定参与者控制的设备提供在受影响环境内的访问。

三、思科敦促客户升级

　　思科公司周三发布了安全更新，以修复这两个零日，现在“强烈建议”所有客户将设备升级到固定软件，以阻止任何传入的攻击。

　　还“强烈鼓励”Cisco管理员监控系统日志，以查看是否有计划外重新启动、未经授权的配置更改或可疑凭据活动的迹象。

　　该公司补充道：“无论您的网络设备提供商是谁，现在都是时候确保设备得到正确的修补，登录到一个中心的安全位置，并配置为具有强大的多因素身份验证(MFA)。”。

　　思科还在本咨询中提供了有关验证ASA或FTD设备完整性的说明。

　　本月早些时候，思科警告称，全球范围内的思科、CheckPoint、Fortinet、SonicWall和Ubiquiti设备将面临针对VPN和SSH服务的大规模暴力攻击