ArcaneDoor – Zero-days utnyttjas i Cisco-enheter

Cisco Talos varnar för att en statlig grupp med kopplingar till Kina just nu utnyttjar två zero-days som återfinnes i Cisco ASA-produkter. De två sårbarheterna som utnyttjas sedan tidigt 2024 är enligt följande:

• CVE-2024-20353
• CVE-2024-20359

Dock har dessa CVE:er tyvärr inget att göra med initiala attackvektorn som fortfarande är okänd för Cisco.

Cisco har släppt ett kommando som man kan köra på sin Cisco ASA-enhet för att se om man har fått ett implantat inladdat:

show memory region | include lina

Och kontrollera följande:

Den övre delen av bilden ovan visar på flertalet adressrymder där Perm är r-xp och pathname /asa/bin/lina, detta indikerar på att det eventuellt finns en bakdörr i enheten.

Angriparna har också genomfört flertalet anti-forensiska åtgärder i bakdörren, vilket är intressant. En av dessa är bl.a. att se till att en krash-dump som genereras ej innehåller bakdörren.

Bakdörrarna går under namnen Line Runner och Line Dancer och hela kampanjen går under namnet ArcaneDoor av Cisco.

Rekommenderar även att läsa följande artikel som jag skrev på LinkedIn:

• linkedin.com/pulse/vpn-som-exponeras-mot-internet-jonas-lejon-ffa3f

Samt Cisco Talos utförliga inlägg här.