-
09/04/2020
-
85
-
554 bài viết
Cisco cảnh cáo lỗ hổng zero-day có thể bị khai thác để tấn công mạng chính phủ
Cisco vừa cảnh báo về một nhóm tin tặc có tên UAT4356 đã khai thác 2 lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) từ tháng 11 năm 2023 để xâm nhập vào mạng chính phủ trên toàn thế giới.
Chiến dịch tấn công của nhóm tin tặc này có tên là ArcaneDoor. Về phía Cisco vẫn chưa xác định được hướng tấn công ban đầu, nhưng hãng đã giải quyết 2 lỗ hổng zero-day CVE-2024-20353 (tấn công từ chối dịch vụ) và CVE-2024-20359 (thực thi mã cục bộ liên tục).
Hai lỗ hổng này cho phép kẻ tấn công khai thác để triển khai phần mềm độc hại và nằm vùng trên các thiết bị ASA và FTD bị nhiễm.
Phần mềm độc hại được đặt ẩn đầu tiên là Line Dancer, một công cụ có vai trò tải shellcode vào bộ nhớ để thực thi payload shellcode tùy ý trên hệ thống. Mục tiêu của các shellcode này bao gồm vô hiệu hóa ghi log, cho phép truy cập từ xa và trích xuất gói tin bắt được.
Phần mềm độc hại đặt ẩn thứ hai đóng vai trò như một backdoor có tên Line Runner, đi kèm với nhiều cơ chế tránh phát hiện Defense Evasion) và cho phép chạy mã Lua (ngôn ngữ lập trình) tùy ý trên các hệ thống mục tiêu.
Trung tâm An ninh Mạng Quốc gia của Anh, Canada, Úc cho biết thêm về việc nhóm tấn công đã sử dụng quyền truy cập của họ để thực hiện các hành động sau:
Chiến dịch tấn công của nhóm tin tặc này có tên là ArcaneDoor. Về phía Cisco vẫn chưa xác định được hướng tấn công ban đầu, nhưng hãng đã giải quyết 2 lỗ hổng zero-day CVE-2024-20353 (tấn công từ chối dịch vụ) và CVE-2024-20359 (thực thi mã cục bộ liên tục).
Hai lỗ hổng này cho phép kẻ tấn công khai thác để triển khai phần mềm độc hại và nằm vùng trên các thiết bị ASA và FTD bị nhiễm.
Phần mềm độc hại được đặt ẩn đầu tiên là Line Dancer, một công cụ có vai trò tải shellcode vào bộ nhớ để thực thi payload shellcode tùy ý trên hệ thống. Mục tiêu của các shellcode này bao gồm vô hiệu hóa ghi log, cho phép truy cập từ xa và trích xuất gói tin bắt được.
Phần mềm độc hại đặt ẩn thứ hai đóng vai trò như một backdoor có tên Line Runner, đi kèm với nhiều cơ chế tránh phát hiện Defense Evasion) và cho phép chạy mã Lua (ngôn ngữ lập trình) tùy ý trên các hệ thống mục tiêu.
Trung tâm An ninh Mạng Quốc gia của Anh, Canada, Úc cho biết thêm về việc nhóm tấn công đã sử dụng quyền truy cập của họ để thực hiện các hành động sau:
- Sao chép thông tin cấu hình của thiết bị và gửi đi thông qua các yêu cầu web để thu thập thông tin từ các thiết bị mục tiêu.
- Điều khiển việc kích hoạt và vô hiệu hóa dịch vụ syslog của thiết bị để khó bị phát hiện
- Điều khiển và quản lý quyền truy cập vào hệ thống từ xa, thậm chí có thể tạo ra các tài khoản giả mạo hoặc không được phép để truy cập vào các thiết bị mạng.
Theo: BleepingComputer
Chỉnh sửa lần cuối: