top of page

ArcaneDoor: Campaña de ciberespionaje que explota vulnerabilidades en dispositivos de red de Cisco

ArcaneDoor es una campaña que es el ejemplo más reciente de actores patrocinados por el estado que apuntan a dispositivos de red perimetral de múltiples proveedores.



Esta campaña se dirigió a las redes gubernamentales a nivel mundial mediante la explotación de múltiples vulnerabilidades de día cero en los firewalls Adaptive Security Appliance (ASA) de Cisco.


La cadena de ataque aprovechó dos implantes de malware personalizados, “Line Dancer” y “Line Runner”, para obtener acceso persistente y control remoto sobre los dispositivos ASA comprometidos.


Line Dancer era un intérprete de shellcode en memoria que permitía ejecutar cargas útiles arbitrarias, mientras que Line Runner proporcionaba una puerta trasera persistente al abusar de la funcionalidad de precarga de un cliente VPN heredado.



Line Dancer proporcionó la capacidad de deshabilitar el registro, capturar configuraciones de dispositivos, rastrear el tráfico de la red, ejecutar comandos CLI e incluso omitir los mecanismos de autenticación.


Conectó funciones críticas como volcados de memoria para dificultar el análisis forense y reinició dispositivos para eliminarse de la memoria.


Recomendaciones
  • Se recomienda a los usuarios de dispositivos Cisco que actualicen sus dispositivos a las versiones de software corregidas para bloquear posibles ataques. También se aconseja monitorear de cerca los registros del sistema en busca de signos de actividad sospechosa y configurar la autenticación de múltiples factores (MFA) para una mayor seguridad.

  • Registrar eventos en una ubicación central y segura. Y configurar autenticación fuerte y multi-factor (MFA).

  • Seguir las instrucciones que Cisco ha proporcionado para verificar la integridad de los dispositivos ASA o FTD en su asesoramiento.

  • Los clientes pueden utilizar los siguientes pasos para verificar la integridad de sus dispositivos Cisco ASA o FTD: 1. Inicie sesión en el dispositivo sospechoso CLI. 2. Nota: En los dispositivos que están ejecutando Cisco FTD Software, cambien al Cisco ASA CLI utilizando el comando diagnóstico-cli de soporte del sistema. 3. Utiliera el comando de habilitación para cambiar en modo EXEC privilegiado. 4. Nota: En los dispositivos que ejecutan Cisco FTD Software, la contraseña de habilitación está en blanco. 5. Recolecte las salidas de los comandos siguientes: - Versión de show             - Verificar /SHA-512 system:memory/text             - Mfemoria de menú debug 6. Abra un caso con el Centro de Asistencia Técnica de Cisco (TAC). En el caso, haga referencia a la palabra clave ArcaneDoor y suba los datos que se recogió en el Paso 3.


Prioridad: Alta


Indicadores de Compromiso (IoC):

Infraestructura desplazada por Actor:


192.36.57[.]181

185.167.60[.]85

185.227.111[.]17

176.31.18[.]153

172.105.90[.]154

185.244.210[.]120

45.86.163[.]224

172.105.94[.]93

213.156.138[.]77

89.44.198[.]189

45.77.52[.]253

103.114.200[.]230

212.193.2[.]48

51.15.145[.]37

89.44.198[.]196

131.196.252[.]148

213.156.138[.]78

121.227.168[.]69

213.156.138[.]68

194.4.49[.]6

185.244.210[.]65

216.238.75[.]155


Infraestructura multi-Tenant:


5.183.95[.]95

45.63.119[.]131

45.76.118[.]87

45.77.54[.]14

45.86.163[.]244

45.128.134[.]189

89.44.198[.]16

96.44.159[.]46

103.20.222[.]218

103.27.132[.]69

103.51.140[.]101

103.119.3[.]230

103.125.218[.198

104.156.232[.]22

107.148.19[.]88

107.172.16[.]208

107.173.140[.]111

121.37.174[.]139

139.162.135[.]12

149.28.166[.]244

152.70.83[.]47

154.22.235[.]13

154.22.235[.]17

154.39.142[.]47

172.233.245[.]241

185.123.101[.]250

192.210.137[.]35

194.32.78[.]183

205.234.232[.]196

207.148.74[.]250

216.155.157[.]136

216.238.66[.]251

216.238.71[.]49

216.238.72[.]201

216.238.74[.]95

216.238.81[.]149

216.238.85[.]220

216.238.86[.]24


CVE-2024-20353: Denegación de servicio.

CVE-2024-20359: Ejecución de código local persistente.


Fuentes
3 visualizaciones0 comentarios

Comentarios


bottom of page