Le PDG de Take-Two affirme qu’il n’a pas fermé les studios…

Intermédiation de crédit, efficacité du capital nécessaire dans la…

Neutelings Riedijk Architects and ARS Architectes Design Cit des…

#image_title
Logiciels

Les failles Zero Day de Cisco dans les logiciels ASA et FTD attaquées | Cible technologique

Lire aussi :

Palo Alto Networks achète des actifs de sécurité à IBM pour…

Google Play bénéficie d’améliorations de la liste…

Un État-nation jusqu’alors inconnu a ciblé les réseaux gouvernementaux en utilisant deux vulnérabilités Zero Day affectant les produits Cisco dans le cadre d’une campagne appelée « ArcaneDoor ».

Les deux jours zéro, qui ont été divulgués et corrigés mercredi, affectent les logiciels Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD). CVE-2024-20353 est une vulnérabilité de déni de service de haute gravité capable d’exécuter du code à distance ; CVE-2024-20359 est une vulnérabilité d’exécution de code local persistante de haute gravité.

Selon un avis publié par Cisco, les CVE 2024-20353 et CVE-2024-20359 ont été exploitées dans le cadre de la campagne de menace ArcaneDoor.

« Bien que Cisco n’ait pas encore identifié le vecteur d’attaque initial, les mises à jour logicielles identifiées dans les avis du tableau suivant corrigent les faiblesses logicielles qui pourraient permettre à un attaquant d’implanter un logiciel malveillant et d’obtenir la persistance sur un appareil affecté. Parmi ces faiblesses logicielles, CVE -2024-20353 et CVE-2024-20359 ont été utilisés par l’attaquant dans cette campagne d’attaque », indique l’avis. « Cisco recommande fortement à tous ses clients de passer à des versions logicielles fixes. »

Le fournisseur de réseau a détaillé ArcaneDoor dans un article de blog rédigé mercredi par les chercheurs de Cisco Talos. Cisco Talos a déclaré que l’acteur menaçant derrière la campagne est un adversaire étatique jusqu’alors inconnu, suivi comme UAT4356 par Talos et Storm-1849 par le Microsoft Threat Intelligence Center, et que la campagne « est le dernier exemple d’acteurs parrainés par l’État ciblant le réseau périphérique ». appareils de plusieurs fournisseurs.

Les chercheurs ont déclaré que la campagne avait été découverte plus tôt cette année après qu’un client ait identifié des problèmes de sécurité d’ASA et contacté Cisco pour y répondre. L’enquête, à laquelle ont participé des partenaires externes de la communauté du renseignement, a révélé deux portes dérobées, nommées Line Runner et Line Dancer, ainsi que deux vulnérabilités. Les portes dérobées ont été utilisées pour « la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et potentiellement les mouvements latéraux », selon Cisco Talos.

« Cet acteur a utilisé des outils sur mesure qui démontraient une concentration claire sur l’espionnage et une connaissance approfondie des appareils qu’ils ciblaient, caractéristiques d’un acteur sophistiqué parrainé par l’État », peut-on lire sur le blog.

L’enquête a également révélé une troisième vulnérabilité dans les logiciels Cisco ASA et FTD qui n’a pas été exploitée par les attaquants. CVE-2024-20358 est une vulnérabilité d’injection de commandes de gravité moyenne, que Cisco a également corrigée.

Cisco Talos a déclaré que la campagne impliquait une « chaîne d’attaque sophistiquée utilisée pour implanter des logiciels malveillants personnalisés et exécuter des commandes sur un petit ensemble de clients ». Aucun vecteur d’attaque initial n’a été identifié.

Selon une chronologie incluse dans le billet de blog, les activités de menace associées ont commencé au moins dès novembre de l’année dernière.

« L’enquête qui a suivi a identifié des victimes supplémentaires, qui impliquaient toutes des réseaux gouvernementaux à l’échelle mondiale. Au cours de l’enquête, nous avons identifié des infrastructures contrôlées par des acteurs remontant à début novembre 2023, la plupart des activités ayant eu lieu entre décembre 2023 et début janvier 2024 », a déclaré Cisco. . « En outre, nous avons identifié des preuves suggérant que cette capacité était testée et développée dès juillet 2023. »

TechTarget Editorial a contacté Cisco pour obtenir des commentaires supplémentaires afin de clarifier si toutes les victimes étaient associées à des gouvernements, mais la société a refusé de commenter. Au lieu de cela, un porte-parole a fait la déclaration suivante :

Lors de la résolution d’un cas de support client Cisco, nous avons découvert trois vulnérabilités jusqu’alors inconnues affectant les appareils exécutant les appareils de sécurité adaptables Cisco (ASA) ou le logiciel Cisco Firepower Threat Defense (FTD). Nous avons publié des avis de sécurité pour les clients avec des mises à jour logicielles et d’autres conseils pour assurer leur sécurité. Nous invitons vivement nos clients à prendre des mesures immédiates, comme indiqué dans les avis et dans ce blog de Cisco Talos, notre organisation de renseignement sur les cybermenaces.

Dans le cas des trois failles, aucune solution de contournement n’est disponible. « Cisco recommande fortement aux clients de passer à un logiciel fixe pour résoudre cette vulnérabilité », a indiqué la société dans les avis concernant les deux failles zero-day. « Les clients sont également fortement encouragés à surveiller les journaux système pour détecter les indicateurs de modifications de configuration non documentées, de redémarrages imprévus et de toute activité anormale d’identification. »

Cisco Talos a attribué la découverte des CVE 2024-20353 et CVE-2024-20359 à quatre agences gouvernementales : CISA ; le Centre australien de cybersécurité de la Direction australienne des signaux ; le Centre canadien pour la cybersécurité, qui fait partie du Centre de la sécurité des télécommunications; et le National Cyber ​​Security Centre (NCSC) du Royaume-Uni.

Dans une alerte de sécurité, CISA a déclaré avoir ajouté les deux jours zéro à son catalogue de vulnérabilités exploitées connues et « encourage fortement les utilisateurs et les administrateurs à appliquer les mises à jour nécessaires, à rechercher toute activité malveillante, [and] signaler les résultats positifs à la CISA. » L’agence canadienne de cybersécurité a publié un avis comprenant des indicateurs de compromission, et le NCSC a publié une analyse des logiciels malveillants de Line Runner et Line Dancer.

Les attaques contre les limites du réseau ou les périphériques périphériques tels que les VPN, les pare-feu et les routeurs constituent une préoccupation constante pour la communauté de la sécurité informatique ces dernières années. La Cyber ​​Insurance Coalition a publié cette semaine son « 2024 Cyber ​​Claims Report », qui détaille les risques posés par l’utilisation d’appareils connectés à Internet et non corrigés. Dans le rapport, la Coalition a constaté que les réclamations d’assurance pour les utilisateurs de Cisco ASA ont augmenté en 2023. « Les entreprises disposant d’appareils Cisco ASA exposés à Internet étaient près de cinq fois plus susceptibles de subir une réclamation en 2023 », indique le rapport.

Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Palo Alto Networks achète des actifs de sécurité à IBM pour élargir sa…

Google Play bénéficie d’améliorations de la liste…

3 industries bien rémunérées pour les emplois de débutant en 2024

Les propriétaires d’iPhone disent que la dernière mise à jour…

Le développeur de Tornado Cash reconnu coupable de blanchiment de 1,2…

IA générative dans la recherche : laissez Google effectuer la…

1 De 318

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite