Hintertüren auf Cisco ASA- und FTD-System bleiben auch nach Reboots und Systemupdates
Cisco hat auf Geräten mit den Betriebssystemen Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) raffinierte Hintertüren entdeckt. Unbekannte Angreifer nutzten seit Januar bisher unbekannte Zero-Day-Sicherheitslücken, um gezielte Angriffe durchzuführen. Einige Einzelheiten sind jedoch noch unklar. Cisco hat Updates veröffentlicht, daher sollten Administratoren die Situation im Auge behalten.
Die von Cisco als „Line Runner“ und „Line Dancer“ bezeichneten Hintertüren gelangten auf die Geräte, indem die Angreifer eine bisher unbekannte Methode nutzten. Es ist unklar, ob die Angreifer die Zugangsdaten der Opfer abgefangen haben oder eine weitere Sicherheitslücke ausgenutzt haben. Die Sicherheitsabteilung von Cisco konnte dies bisher nicht feststellen.
Jedoch ist bekannt, dass die Angreifer dank der Sicherheitslücke CVE-2024-20353 (CVSS 8,6, Risiko „hoch“) Schadcode ausführen konnten, den sie in einem ZIP-Archiv auf die Geräte hochgeladen haben. Anschließend haben sie das betroffene Gerät mithilfe einer weiteren Sicherheitslücke, CVE-2024-20359 (CVSS 6,0, Risiko „mittel“), neu gestartet und die Hintertür dauerhaft darauf installiert.
Eine dritte Sicherheitslücke mit der CVE-ID CVE-2024-20358 (CVSS 6,0, Risiko „mittel“) scheint nicht mit der Angriffskampagne in Verbindung zu stehen. Sie erlaubt jedoch ebenfalls die Ausführung von Schadcode durch Angreifer, die Zugriff auf ein Administrator-Konto haben.
Angreifer mit Spionageabsichten
Die Hintermänner des Angriffs sind noch unbekannt, aber Cisco vermutet staatlich unterstützte Akteure mit einem tiefgreifenden technischen Know-how, deren Ziel es ist, Spionage zu betreiben. Dafür spricht auch, dass der Angriff gezielt nur bestimmte Ziele ins Visier genommen hat, anstatt breit angelegt zu sein.
Der Netzwerkausrüster hat in einem ausführlichen Blogpost das Vorgehen der Angreifer, die sie unter dem Codenamen „UAT4356“ (auch bekannt als „STORM-1849“ in Microsofts Nomenklatur) führen, offengelegt. Dieser Beitrag enthält auch Indicators of Compromise (IoC), also Hinweise auf eine mögliche Kompromittierung.
Drei Sicherheitsmeldungen von Cisco enthalten zudem Hinweise auf Updates für potenziell gefährdete Geräte – jeweils ein Hinweis zu den Sicherheitslücken CVE-2024-20353, CVE-2024-20358 und CVE-2024-20359.
Administratoren, die bei ihren Firewalls in letzter Zeit ungewöhnliches Verhalten wie unerwartete Neustarts festgestellt haben, sollten dringend ihre Geräte überprüfen, Updates installieren und die von Cisco empfohlenen Gegenmaßnahmen ergreifen. Im Expertenforum von heise Security Pro gibt es bereits seit gestern einen Thread zu diesem Thema, in dem Sicherheitsverantwortliche ihre Gegenmaßnahmen besprechen können.
Das BSI hat ebenfalls einen Cyber-Warnhinweis zu den Sicherheitslücken in ASA und FTD veröffentlicht. Das britische Pendant zum BSI, das National Cyber Security Center (NCSC), hat in seiner Kurzanalyse auch eine Yara-Regel bereitgestellt, die bei der Erkennung der Hintertür helfen kann.
Das BSI warnt mittlerweile auch vor den Sicherheitslücken. In der Cyber-Sicherheitswarnung erwähnen die Bonner außerdem eine dritte Sicherheitslücke, die wir im obigen Text ergänzt haben. Wir haben das Risiko von CVE-2024-20358 auf „mittel“ korrigiert, entsprechend der korrekten Risikobewertung bei einem CVSS-Score von 6,0. Außerdem haben wir einen Verweis auf das NCSC-Dokument hinzugefügt.