Des failles zero-day Cisco dans les logiciels ASA et FTD sont attaquées

Un acteur défini comme d’envergure nationale, néanmoins inconnu, a ciblé des réseaux gouvernementaux en utilisant deux vulnérabilités de type « zero-day » affectant les produits Cisco dans le cadre d’une campagne baptisée « ArcaneDoor ».

Les deux failles, qui ont été révélées et corrigées mercredi, affectent les logiciels Cisco Adaptive Security Appliance (ASA, suite d’outils dont un pare-feu nouvelle génération) et Firepower Threat Defense (FTD). CVE-2024-20353 est une vulnérabilité de déni de service de haute sévérité capable d’exécuter du code à distance ; CVE-2024-20359 est une vulnérabilité persistante de haute sévérité d’exécution de code local.

Selon un avis publié par Cisco, les CVE 2024-20353 et CVE-2024-20359 ont été exploitées dans le cadre de la campagne de menaces ArcaneDoor.

« Bien que Cisco n’ait pas encore identifié le vecteur d’attaque initial, les mises à jour logicielles identifiées dans les avis du tableau suivant traitent des faiblesses logicielles qui pourraient permettre à un attaquant d’implanter des logiciels malveillants et d’obtenir une persistance sur un appareil affecté. Parmi ces faiblesses logicielles, CVE-2024-20353 et CVE-2024-20359 ont été utilisées par l’attaquant dans cette campagne d’attaque », peut-on lire dans l’avis. « Cisco recommande vivement à tous ses clients d’effectuer une mise à niveau vers les versions logicielles corrigées. »

L’équipementier réseau a présenté ArcaneDoor dans un billet de blog rédigé par les chercheurs de Cisco Talos. Cisco Talos a déclaré que l’acteur de la menace à l’origine de la campagne est un adversaire national inconnu jusqu’à présent – identifié comme UAT4356 par Talos et Storm-1849 par le Microsoft Threat Intelligence Center –, et que la campagne « est le dernier exemple en date d’acteurs parrainés par un État qui ciblent des dispositifs de réseaux périmétriques de plusieurs fournisseurs ».

Les chercheurs ont déclaré que la campagne avait été découverte au début de l’année après qu’un client ait identifié des problèmes de sécurité liés à ASA et ait contacté Cisco pour les résoudre. L’enquête, à laquelle ont participé des partenaires externes de la communauté du renseignement, a révélé deux portes dérobées, appelées Line Runner et Line Dancer, ainsi que deux vulnérabilités. Selon Cisco Talos, les portes dérobées étaient utilisées pour « la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et potentiellement le déplacement latéral ».

« Cet acteur a utilisé des outils sur mesure qui témoignent d’une orientation claire vers l’espionnage, et d’une connaissance approfondie des dispositifs qu’il a ciblés. Ce qui est la marque d’un acteur sophistiqué parrainé par un État », peut-on lire dans le billet de blog.

L’enquête a également révélé une troisième vulnérabilité dans les logiciels Cisco ASA et FTD qui n’a pas été exploitée par les attaquants. CVE-2024-20358 est une faille d’injection de commande de gravité moyenne, que Cisco a également corrigée.

Cisco Talos a déclaré que la campagne impliquait une « chaîne d’attaque sophistiquée qui a été utilisée pour implanter des logiciels malveillants personnalisés et exécuter des commandes sur un petit nombre de clients ». Le vecteur d’attaque initial n’a pas été identifié.

Selon la chronologie des événements, les activités liées à cette vulnérabilité ont débuté au moins en novembre de l’année 2023.

« L’enquête qui a suivi a permis d’identifier d’autres victimes, toutes impliquées dans des réseaux gouvernementaux à l’échelle mondiale. Au cours de l’enquête, nous avons identifié des infrastructures contrôlées par des acteurs remontant à début novembre 2023, la plupart des activités ayant eu lieu entre décembre 2023 et début janvier 2024 », précise Cisco. « En outre, nous avons identifié des preuves qui suggèrent que cette capacité a été testée et développée dès juillet 2023. »

La rédaction de TechTarget (maison mère du MagIT) a contacté Cisco pour obtenir des informations supplémentaires afin de savoir si toutes les victimes étaient associées à des gouvernements, mais l’entreprise a refusé de commenter tout en répétant que « dans le cas des trois failles, aucune solution de contournement n’est disponible. Cisco recommande donc vivement à ses clients de mettre à jour leur logiciel afin de résoudre cette vulnérabilité (…) Les clients sont également fortement encouragés à surveiller les journaux de leur système pour y trouver des indicateurs de changements de configuration non documentés, de redémarrages non programmés et de toute activité anormale sur les informations d’identification ».

Cisco Talos attribue la découverte des CVE 2024-20353 et CVE-2024-20359 à quatre agences gouvernementales : la CISA (l’agence américaine en charge de la cybersécurité), et ses homologues australienne (Australian Signals Directorate), canadienne (Canadian Centre for Cyber Security) et britannique (National Cyber Security Centre, NCSC).

Dans une alerte de sécurité, la CISA a notamment indiqué qu’elle avait ajouté les deux failles zero-day à son catalogue de vulnérabilités connues et exploitées, et qu’elle « encourage vivement les utilisateurs et les administrateurs à appliquer les mises à jour nécessaires, à rechercher toute activité malveillante [et] à signaler les résultats positifs ». L’agence canadienne de cybersécurité a publié un avis comprenant des indicateurs de compromission, et le NCSC a publié une analyse des logiciels malveillants Line Runner et Line Dancer.

Les attaques contre les périphériques de réseau, tels que les VPN, les pare-feu et les routeurs, ont été une préoccupation constante pour la communauté cybersécurité au cours des dernières années.