image

Cisco-firewalls al maandenlang doelwit van zeroday-aanvallen

donderdag 25 april 2024, 09:34 door Redactie, 11 reacties

Firewalls van Cisco zijn al maandenlang het doelwit van aanvallen waarbij twee zerodaylekken worden gebruikt, zo heeft het bedrijf zelf laten weten. Bij de aanvallen weten de aanvallers malware op de firewalls te installeren. Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend. Het zerodaylek aangeduid als CVE-2024-20359 maakt het mogelijk voor een aanvaller om willekeurige code met rootrechten op de firewall uit te voeren.

Dit is echter alleen mogelijk als de aanvaller al admintoegang tot de firewall heeft. De andere zeroday, CVE-2024-20353, wordt gebruikt om te voorkomen dat de firewall een crash dump kan genereren, wat details over de aanval bevat. Via de kwetsbaarheid vindt er meteen een reboot van de firewall plaats, wat forensisch onderzoek zo bemoeilijkt.

Zodra de aanvallers toegang tot een Cisco-firewall hebben worden er twee backdoors geïnstalleerd die Cisco "Line Runner" en "Line Dancer" noemt. Via de backdoors wijzigen de aanvallers de configuratie van de firewall, verzamelen netwerkverkeer en kunnen zich lateraal door het netwerk bewegen. De Britse overheid maakte een analyse van beide backdoors (pdf1, pdf2).

Cisco stelt dat begin januari de eerste aanvallen zijn waargenomen waarbij de zerodays zijn ingezet. Vorig jaar juli zouden de aanvallers echter al zijn begonnen met het testen van de aanval. De Australische overheid laat weten dat verschillende firewalls in Australië zijn gecompromitteerd. Cisco heeft updates beschikbaar gemaakt om de zerodays te verhelpen. Volgens het netwerkbedrijf zijn de aanvallen het werk van een statelijke actor en is "klein aantal" klanten doelwit geworden.

Reacties (11)
25-04-2024, 10:34 door Anoniem
Een zerodaylek die januari al bekend werd bij cisco, hoe dan, dat je er 3 maanden overheen laat gaan voordat je dat gat gedicht hebt?
Ik kan me voorstellen dat je moet nagaan wat er allemaal om (dat gat) heen zit, wat er allemaal mee gemoeid gaat, maar heb je je prioriteiten wel op orde om daar dan 3 maanden over te doen voordat je dat gat gedicht hebt.
Doet mij vermoeden dat ze zelf hun software niet zo goed meer kennen, te complex geworden door al het gepatch om patchen heen, of dat het één en al gatenkaas is wat eigenlijk niet meer te plakken valt.
25-04-2024, 10:52 door johanw
Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend.

Laat me raden: alweer hardcoded login credentials? Nu het uitgelekt is en niet alleen de NSA het weet wordt het gat natuurlijk vervangen door een ander.
25-04-2024, 11:10 door Anoniem
(sarcasme on) ohh wat fijn en goed dat we Amerikaanse apparatuur gebruiken. Er kan dan geen spionage plaats vinden.deze zijn enkel gevoelig voor staathackers en cybercriminelen. We zijn hier zo blij mee.... (/Sarcasme off)
25-04-2024, 11:46 door Anoniem
zoveel BS in deze melding.
zeroday werkt alleen als je al admin bent. hoe wordt je dan admin? en waarom deze zeroday dan nog?
en 3 maanden?
25-04-2024, 12:51 door Anoniem
Door Anoniem: (sarcasme on) ohh wat fijn en goed dat we Amerikaanse apparatuur gebruiken. Er kan dan geen spionage plaats vinden.deze zijn enkel gevoelig voor staathackers en cybercriminelen. We zijn hier zo blij mee.... (/Sarcasme off)

Sarcasme. Altijd leuk en grappig. Heb je ook een alternatief voor "Amerikaanse apparatuur"?
25-04-2024, 15:38 door Anoniem
Door Anoniem: zoveel BS in deze melding.
zeroday werkt alleen als je al admin bent. hoe wordt je dan admin? en waarom deze zeroday dan nog?

persistent hidden access (en vast ook zonder loggen van acties) is beter dan leunen op het de hoop dat je admin access blijft werken en niet gezien wordt.

De manier van admin worden is nog onbekend.
25-04-2024, 16:39 door Anoniem
Door Anoniem:
Door Anoniem: (sarcasme on) ohh wat fijn en goed dat we Amerikaanse apparatuur gebruiken. Er kan dan geen spionage plaats vinden.deze zijn enkel gevoelig voor staathackers en cybercriminelen. We zijn hier zo blij mee.... (/Sarcasme off)

Sarcasme. Altijd leuk en grappig. Heb je ook een alternatief voor "Amerikaanse apparatuur"?
Denk aan nec, nokia, of D-link.
Huawei en zte zijn Chinees dus ook niet de beste keuze. Ik zie wel veel zte door providers ingezet. Maar als je vraagt naar een Huawei variant krijg je te horen dat die door china zijn gemaakt en niet worden gelevert. Cisco mag dan wel. Met het wijzen dat de handleiding en doos van zte geen nederlandse text heeft en de doos ook geen engelse text heeft ( handleiding nog net wel een engelse versie) vinden ze heel vreemd. ( Meerdere keren gezien bij vrienden.)
25-04-2024, 19:34 door Anoniem
zijn er serieus nog bedrijven die Cisco ASA gebruiken?
25-04-2024, 23:34 door Anoniem
Door Anoniem: Een zerodaylek die januari al bekend werd bij cisco, hoe dan, dat je er 3 maanden overheen laat gaan voordat je dat gat gedicht hebt?
Ik kan me voorstellen dat je moet nagaan wat er allemaal om (dat gat) heen zit, wat er allemaal mee gemoeid gaat, maar heb je je prioriteiten wel op orde om daar dan 3 maanden over te doen voordat je dat gat gedicht hebt.
Doet mij vermoeden dat ze zelf hun software niet zo goed meer kennen, te complex geworden door al het gepatch om patchen heen, of dat het één en al gatenkaas is wat eigenlijk niet meer te plakken valt.

De clue zit hem in de eerste alinea.... 'Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend', maar blijkbaar is lezen lastig.
26-04-2024, 08:17 door Bitje-scheef
Door Anoniem: zijn er serieus nog bedrijven die Cisco ASA gebruiken?

Cisco is wat mij betreft een beetje passé. Echter ze hebben nog steeds wel producten die uniek zijn.
Daarnaast is het nog steeds een soort industrie-standard.
26-04-2024, 08:38 door Bitje-scheef - Bijgewerkt: 26-04-2024, 08:39
Quote: Begin januari werd de hack het eerst opgemerkt, en deze week werden de details van ‘ArcaneDoor’ zoals Cisco het noemt, gepubliceerd. De hackers zouden zich met name focussen op VPN-diensten die worden gebruikt door overheden en kritieke infrastructuurnetwerken over de hele wereld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.