Des pare-feu Cisco touchés par une faille Zero Day ciblent des sites gouvernementaux à travers le monde

Une campagne de malware, baptisée « Arcane Door », cible particulièrement les réseaux protégés par les logiciels Cisco Adaptative Security Appliance (ASA). Une fois infiltrés, les hackers utilisent au moins deux failles de sécurité pour introduire deux malwares, « Line Runner » et « Line Dancer ».

Les États-Unis et la Chine ne passeront probablement pas leurs vacances ensemble. Au cœur d'une cyberguerre sans merci, une nouvelle campagne de malware révélée par les chercheurs de Cisco Talos, ce mercredi 24 avril 2024.

Arcane Door, comme ils l'ont surnommée, se décompose en deux phases distinctes : l'exploitation de 2 failles Zero Day pour pénétrer les plateformes de pare-feu ASA avant d'y injecter deux back doors. In fine, l'idée étant pour les hackers d'exécuter des commandes à distance et d'exfiltrer des données sensibles. En effet, les réseaux ciblés sont censés protéger des sites gouvernementaux à travers le monde, mais également des sites de télécommunication ou de gestion de l'énergie.

Cisco n'a ni identifié ni accusé formellement un réseau de cyberpirates en particulier, mais son enquête, menée conjointement avec Microsoft, conduit tout droit à la Chine.

« CVE-2024-20359 » et « CVE-2024-20353 » ,
2 failles de sécurité Zero Day exploitées pour injecter 2 back doors, « Line Runner » et « Line Dancer »

Concrètement, Arcane Door se déploie en deux temps. La première phase consiste à exploiter deux vulnérabilités de type Zero Day (failles qui n'ont reçu aucun correctif connu): CVE-2024-20353 et CVE-2024-20359, dans les appareils Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD),

CVE-2024-20353 est une vulnérabilité de haute gravité notée selon l'échelle CVSS 8,6. Elle se situe dans les serveurs Web de gestion et VPN pour les appareils Cisco ASA et FTD, et permet d'effectuer certaines commandes à distance des appareils protégés comme un reset provoquant un déni de service.

En exploitant la faille CVE-2024-20359, moins sévère, mais tout aussi dommageable, qui obtient le score CVSS de 6,0 le hacker peut exécuter du code arbitraire avec des privilèges de niveau racine à condition qu'il ait un accès administrateur.

Une fois ces deux failles exploitées, le chemin est tout tracé pour injecter deux malwares qui auront chacun un rôle précis à jouer dans la campagne. Le premier, Line Dancer, est un implant mémoire qui exécute des charges utiles de shellcode, désactive syslog, exécute des commandes, provoque des redémarrages d'appareils, échappant à l'analyse. Il peut aussi tromper la fonction AAA pour permettre une connexion via un tunnel VPN avec une authentification par numéro magique. Le second, Line Runner, est un web shell persistant. Il peut télécharger et exécuter des scripts Lua, qui sont comme des instructions spéciales.

La Chine soupçonnée d'être à l'origine d'Arcane Door

Cisco cependant a réagi en publiant ce mercredi 24 avril des correctifs pour ces deux failles, mais n'en est qu'au début de son enquête. « Nous n'avons pas déterminé le vecteur d'accès initial utilisé dans cette campagne. Nous n’avons identifié à ce jour aucune preuve d’exploitation de la pré-authentification », peut-on lire sur le blog de la société.

Toutefois, quelques indices mènent à un probable coupable.
Cisco constate en effet que les méthodes d'infiltration du groupe, qu'ils désignent
UAT4356 a été découvert en même temps que des gangs de hackers à la solde de la Russie et de la Chine infiltraient également le même type d'infrastructures sensibles.

« Cet acteur a utilisé des outils sur mesure qui démontraient une concentration claire sur l'espionnage et une connaissance approfondie des appareils qu'ils ciblaient, caractéristiques d'un acteur sophistiqué parrainé par l'État », a déclaré la société.

De là à identifier la campagne Arcane Door comme étant chinoise, il n'y a qu'un pas que Cisco et Microsoft (avec lequel l'enquête a été menée) ne sauraient franchir.

Source : Ars Technica, Cisco Talos