Résumé
Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des
vulnérabilités affectant les équipements de sécurité ASA et FTD.
Deux d'entre eux concernent les vulnérabilités CVE-2024-20353 et
CVE-2024-20359 qui sont activement exploitées dans le cadre d'attaques
ciblées.
La vulnérabilité CVE-2024-20359 permet à un utilisateur authentifié avec
des droits administrateur d'exécuter du code arbitraire avec les
privilèges root.
En effet, si l'attaquant parvient à écrire un fichier malveillant sur le
système de fichier du disk0:, cela lui permet d'exécuter son code au
prochain redémarrage de l'équipement. Cisco indique que l'attaquant peut
exploiter la vulnérabilité CVE-2024-20353 pour déclencher son
redémarrage.
Dans son billet de blogue [1], Cisco Talos détaille l'historique des
exploitations et indique que les premières infections constatées
remontent à début janvier 2024.
L'éditeur indique ne pas avoir connaissance du vecteur initial
d'infection. Toutefois une fois sur l'équipement, l'attaquant exploite
ces deux vulnérabilités pour mettre en place un implant, nommé Line
Runner par Talos, qui est une porte dérobée persistante.
La présence d'un autre implant, Line Dancer, a été constaté sur des
équipements compromis.
Celui-ci est présent uniquement en mémoire et permet à l'attaquant :
- de désactiver les journaux d'activité système ;
- de récupérer des élements de configuration ;
- d'effectuer et d'exfiltrer des captures réseaux ;
- d'exécuter des commandes arbitraires ;
- de s'insérer dans le processus de vidage après erreur (crash dump)
afin de réduire la trace de son activité ;
- de s'insérer dans le processus d'authentification, authaurisation et
tracabilité (Authentication, Authorization and Accounting, AAA)
afin de contourner ces mécanismes.
Cisco conseille dans un premier temps d'appliquer les mises à jour de
sécurité. Avant de mener les actions d'investigations et de remédiations
préconisées par Talos [1][2], le CERT-FR recommande de déconnecter
l'équipement d'Internet.
Talos insiste sur le fait de ne pas redémarrer l'équipement ou tenter de
récupérer une image mémoire si les investigations initiales montrent une
modification des droits d'exécution de certaines zones mémoire.