Depuis novembre 2023, un groupe de pirates exploite 2 failles de sécurité zero-day présentes dans les firewalls Cisco pour compromettre des infrastructures gouvernementales dans le monde entier. Faisons le point sur cette menace.

Si vous utilisez un firewall Cisco ASA (Adaptive Security Appliance ou Cisco FTD (Firepower Threat Defense), vous devriez lire cette alerte de sécurité avec une attention particulière. Un groupe de pirates, traqués sous le nom UAT4356 par Cisco Talos, et STORM-1849 par Microsoft, a compromis des firewalls vulnérables au début du mois de novembre 2023, dans le cadre d'une campagne de cyberespionnage baptisée "ArcaneDoor".

Dans le cadre de ces attaques, le groupe de pirates a exploité deux vulnérabilités en tant que failles de sécurité zero-day :

• CVE-2024-20353 : un attaquant distant non authentifié peut provoquer un déni de service sur l'appareil.
• CVE-2024-20359 : un attaquant local authentifié peut exécuter un code arbitraire avec les privilèges "root", ce qui implique de compromettre l'appareil au préalable.

Ce n'est qu'en janvier 2024 que Cisco a pris connaissance de la campagne ArcaneDoor. Mais, d'après les chercheurs en sécurité de chez Cisco, les attaquants ont développé et testé des exploits pour ces deux failles zero-day en juillet 2023. Le vecteur d'attaque initial reste inconnu à ce jour.

Sur les appareils Cisco compromis et sur lesquels ils avaient la main, les pirates ont déployé des logiciels malveillants inconnus jusqu'ici. Le premier implant se nomme "Line Dancer" et il permet d'exécuter du code en mémoire pour désactiver la journalisation, activer l'accès distant ou encore exfiltrer les paquets capturés.

Le second implant se nomme "Line Runner" et il s'agit d'une porte dérobée persistante permettant l'exécution de code Lua sur les équipements, tout en étant discret et difficilement détectable.

Dans le rapport de Cisco Talos, nous pouvons lire : "UAT4356 a déployé deux portes dérobées dans le cadre de cette campagne, "Line Runner" et "Line Dancer", qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, notamment la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et, éventuellement, le déplacement latéral."

Cisco a publié des correctifs de sécurité

Cisco a mis en ligne des correctifs de sécurité pour permettre aux entreprises de se protéger de ces failles de sécurité importantes, déjà exploitées dans le cadre de la campagne de cyberespionnage menée par le groupe UAT4356.

"Cisco recommande vivement à tous ses clients d'effectuer une mise à niveau vers les versions logicielles patchées.", peut-on lire sur le site de Cisco.

En complément de l'installation du correctif de sécurité, Cisco vous recommande de surveiller les journaux de système à la recherche d'une activité suspecte. Il peut s'agir d'un redémarrage non programmé de l'appareil, d'un changement de configuration ou encore de connexions suspectes.

Source

The post Les pirates d’ArcaneDoor ont compromis les firewalls Cisco pour accéder à des réseaux gouvernementaux ! first appeared on IT-Connect.

Cisco alerte ses clients sur la nécessité de bien configurer leur accès Remote Access VPN puisqu'ils sont pris pour cible par les pirates qui s'appuient sur une méthode bien connue : le password spraying. Faisons le point.

Les accès distants configurés sur les appareils Cisco Secure Firewall sont pris pour cible par une campagne d'attaques, lors de laquelle les pirates utilisent la méthode de password spraying. Cette technique, que l'on appelle en français la pulvérisation de mot de passe, consiste à tenter de se connecter à plusieurs comptes différents avec le même mot de passe, puis si cela échoue, un autre mot de passe est testé, et ainsi de suite. Les comptes avec un mot de passe faible ou ayant fait l'objet d'une fuite de données sont particulièrement vulnérable à cette attaque.

Le problème, c'est que cette attaque peut être à l'origine d'un déni de service puisque le compte ciblé est susceptible de se verrouiller s'il y a trop de tentatives infructueuses. De ce fait, le compte utilisateur ne peut plus être utilisé pendant un laps de temps correspondant à la durée du verrouillage. Dans ce cas, l'application Cisco Secure Client (AnyConnect) indique à l'utilisateur qu'il n'est pas en mesure de se connecter au VPN.

Au-delà de ce symptôme, Cisco mentionne que cette attaque génère de nombreux événements dans le journal à cause des échecs d'authentification.

Il est important de noter que d'après les chercheurs en sécurité de Cisco Talos, les équipements Cisco ne sont pas les seuls ciblés par cette campagne malveillante. "Talos a constaté que ces attaques ne se limitent pas aux produits Cisco, mais également aux concentrateurs VPN de tiers.", peut-on lire sur le site de Cisco.

D'après les informations obtenues par le site BleepingComputer, il pourrait s'agir d'actions effectuées par le botnet Brutus. Il est associé à 20 000 adresses IP différentes au niveau mondial et Brutus attaque les équipements Cisco, Fortinet, Palo Alto et SonicWall.

Les conseils de Cisco pour vous protéger

La publication de Cisco intègre plusieurs recommandations que les administrateurs peuvent appliquer pour mieux détecter ces attaques et s'en protéger.

• Envoyer les journaux vers un serveur SYSLOG distant de façon à pouvoir analyser les événements et détecter les comportements suspects.
• Empêcher l'utilisation des profils et tunnels par défaut (DefaultRAGroup et DefaultWEBVPNGroup) pour l'accès à distance par défaut, en les faisant pointer vers un serveur AAA sinkhole (destiné à de l'analyse, capture d'événements).
• Utilisation de la commande "shun" pour bloquer manuellement les adresses IP malveillantes, ce qui implique d'analyser les logs en amont.
• Configurer les ACL pour filtrer les adresses IP publiques non autorisées à initier des connexions VPN.
• Éviter d'utiliser la méthode d'authentification traditionnelle, afin de prioriser l'authentification par certificat pour le RAVPN.

Source

The post Cisco alerte ses utilisateurs sur une vague d’attaques ciblant les accès VPN first appeared on IT-Connect.