CVE-2024-20353
Diese Schwachstelle ist auf eine unvollständige Fehlerprüfung beim Parsen eines HTTP-Headers zurückzuführen. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine manipulierte HTTP-Anfrage an einen betroffenen Webserver sendet. Bei erfolgreicher Ausnutzung könnte der Angreifer einen DoS auslösen, indem das Gerät dadurch neu geladen wird.
CVE-2024-20359
Diese Sicherheitslücke ist auf eine unsachgemäße Validierung einer Datei beim Lesen aus dem System-Flash-Speicher zurückzuführen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er eine manipulierte Datei in das disk0:-Dateisystem eines betroffenen Geräts kopiert. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, nach dem nächsten Neuladen des Geräts beliebigen Code auf dem betroffenen Gerät auszuführen, was das Systemverhalten verändern könnte. Der eingeschleuste Code kann auch nach Neustarts des Geräts bestehen bleiben.
Cisco hat bestätigt, dass diese Sicherheitslücken ausgenutzt worden sind.
SHD empfiehlt dringend, auf eine aktuelle Versionen zu aktualisieren (siehe "Betroffene Versionen"). Weiterhin empfehlen wir dringend, die Systemprotokolle auf Anzeichen für nicht dokumentierte Konfigurationsänderungen, ungeplante Neustarts und anomale Aktivitäten mit Anmeldeinformationen zu prüfen (siehe "IOCs").
Klassifizierung
CVE-2024-20353
CVSS 3.0: 8.6
Attack Vector: remote unauthenticated
Impact: DoS
CVE-2024-20359
CVSS 3.0: 6.0
Attack Vector: local
Impact: Device Compromise
Betroffene Versionen
CISCO ASA-Geräte, der Serie ASA55xx und Firmware ASA-Versionen 9.12 und 9.14 wurden in Angriffen auf Kundenumgebungen bereits kompromittiert.
CVE-2024-20359
Diese Sicherheitslücke betrifft Cisco-Produkte, wenn auf ihnen eine anfällige Version der Cisco ASA-Software oder FTD-Software ausgeführt wird. Es ist keine spezielle Konfiguration erforderlich.
CVE-2024-20353
Diese Sicherheitslücke betrifft Cisco ASA-Software und FTD-Software, wenn sie über eine oder mehrere der in den folgenden beiden Tabellen aufgeführten anfälligen Konfigurationen verfügen (siehe "ASA-Software anfällige Konfiguration" und "FTD Software anfällige Konfiguration").
ASA-Betroffenheitsanalyse
Kommando:
show asp table socket | include SSL |
nach einem SSL-Listen-Socket an einem any TCP-Port suchen. Wenn mindestens ein Socket in der Ausgabe vorhanden ist, sollte das Gerät als verwundbar angesehen werden.
Beispiel für saubere Konfiguration auf Port 443 und 8443:
ciscoasa# show asp table socket | include SSL SSL 00185038 LISTEN 172.16.0.250:443 0.0.0.0:* SSL 00188638 LISTEN 10.0.0.250:8443 0.0.0.0:* |
ASA-Software anfällige Konfiguration
In der folgenden Tabelle sind in der linken Spalte die Funktionen der Cisco ASA Software aufgeführt, die potenziell anfällig sind. Die rechte Spalte zeigt die Basiskonfiguration für die Funktion aus dem Kommando:
show running-config |
an, sofern diese ermittelt werden kann. Diese Funktionen könnten dazu führen, dass die SSL-Listen-Sockets aktiviert werden.
Cisco ASA-Software Feature | Possible Vulnerable Configuration |
---|---|
AnyConnect IKEv2 Remote Access (with client services) | crypto ikev2 enable [...] client-services port |
Local Certificate Authority (CA)1 | crypto ca server no shutdown |
Management Web Server Access (including ASDM and CSM)2 | http server enable http |
Mobile User Security (MUS) | webvpn mus password mus server enable port mus |
REST API3 | rest-api image disk0:/rest-api agent |
SSL VPN | webvpn enable |
1 In Cisco ASA Software Release 9.13 and later, Local CA is deprecated and has been removed.
2 Management Web Server Access would only be vulnerable from an IP address in the configured http command range.
3 REST API is vulnerable only from an IP address in the configured http command range.
FTD-Software anfällige Konfiguration
Mit dem gleichen show running-config Kommando kann geprüft werden, ob die FTD potentiell anfällig ist:
Cisco FTD-Software Feature | Possible Vulnerable Configuration |
---|---|
AnyConnect IKEv2 Remote Access (with client services)1,2 | crypto ikev2 enable [...] client-services port |
AnyConnect SSL VPN1,2 | webvpn enable |
HTTP server enabled3 | http server enable http |
1 Remote access VPN features are enabled from Devices > VPN > Remote Access in Cisco Firepower Management Center (FMC) Software or from Device > Remote Access VPN in Cisco Firepower Device Manager (FDM).
2 Remote access VPN features are first supported as of Cisco FTD Software Release 6.2.2.
3 The HTTP feature is enabled from Firepower Threat Defense Platform Settings > HTTP in the Cisco FMC Console.
Workarounds
Derzeit sind keine Workarounds bekannt.
Maßnahmen
Cisco empfiehlt dringend, diese 0-Day-Schwachstelle zu patchen.
Sollte es keinen Wartungs-/Service-Vertrag geben, gibt es über folgenden Weg dennoch die Möglichkeit, den Patch zu erhalten: Cisco Worldwide Support Contacts - Cisco
Die aktuell verfügbaren Versionen sind:
- 9.16.4.57
- 9.18.4.22
- 9.20.2.10
Die Systeme sollten unbedingt auf die untenstehenden Artefakte und IOCs geprüft werden.
Weiterhin sollte das Log auf folgende alert codes geprüft werden, welche auf mögliche schadhafte Aktionen hinweisen, sofern nicht intern als erwartete Aktivität bestätigt.
ASA-Code | Descriptions |
---|---|
ASA-4-106103 | access-list acl_ID denied protocol for user username |
ASA-4-109027 | [aaa protocol] Unable to decipher response message |
ASA-4-113019 | Session disconnected. |
ASA-4-315009 | SSH: connection timed out |
ASA-4-717037 | Tunnel group search using certificate maps failed for peer certificate |
ASA-4-722041 | No IPv6 address available for SVC connection |
ASA-4-768003 | SSH: connection timed out |
ASA-5-111001 | Begin configuration: IP_address writing to device |
ASA-5-111003 | IP_address Erase configuration |
ASA-5-111008 | User user executed the command string |
ASA-5-212009 | Configuration request for SNMP group groupname failed. |
ASA-5-718072 | Becoming master of Load Balancing in context |
ASA-5-734002 | Connection terminated by the following DAP records |
ASA-5-8300006 | Cluster topology change detected. VPN session redistribution aborted |
ASA-6-113015 | AAA user authentication Rejected |
ASA-7-734003 | DAP: User name, Addr ipaddr: Session Attribute: attr name/value |
IOCs
Aktuelle IPs
- 185.244.210[.]65
- 5.183.95[.]95
- 213.156.138[.]77
- 45.77.54[.]14
- 45.77.52[.]253
- 45.63.119[.]131
- 194.32.78[.]183
- 185.244.210[.]120
- 216.238.81[.]149
- 216.238.85[.]220
- 216.238.74[.]95
- 45.128.134[.]189
- 176.31.18[.]153
- 216.238.72[.]201
- 216.238.71[.]49
- 216.238.66[.]251
- 216.238.86[.]24
- 216.238.75[.]155
- 154.39.142[.]47
- 139.162.135[.]12
Artefakte
Im Folgenden sind zwei Beispiele für beobachtete Aktivitäten aufgeführt, die die Kommunikation zwischen den böswilligen Akteuren und den Zielgeräten beschreiben. Die verantwortlichen Behörden haben diese Befehle als zwei Malware-Komponenten identifiziert, die mit den schadhaften Aktivitäten gegen Cisco ASA-Geräte in Verbindung stehen:
LINE RUNNER - eine persistente Webshell, die es böswilligen Akteuren ermöglicht, beliebige Lua-Skripte hochzuladen und auszuführen. Zum Beispiel:
GET /+CSCOE+/portal.css?<aaa>=<token>&<bbb>=<lua_script> Where: <aaa> is a randomized query parameter key name. <token> is a randomized value, checked by the webshell (i.e., auth) <bbb> is a randomized query parameter key name. <lua_script> is the URL Encoded Lua commands to execute. The use of randomized query parameters prevents mass scanning of potentially impacted ASAs. It is assumed the values in the GET requests are victim specific, but this is yet to be confirmed. |
LINE DANCER - ein speicherinternes Implantat, das es böswilligen Akteuren ermöglicht, beliebige Shellcode-Nutzdaten hochzuladen und auszuführen. Zum Beispiel:
POST /CSCOSSLC/config-auth HTTP/1.1 … <host-scan-reply>[base64-encoded payloads]</host-scan-reply> |
Weiterhin wurden folgende Aktivitäten auf betroffenen Systemen entdeckt:
- Die böswilligen Akteure generierten Textversionen der Konfigurationsdatei des Geräts, so dass diese über Webanfragen exfiltriert werden konnte.
- Die böswilligen Akteure waren in der Lage, die Aktivierung und Deaktivierung des Syslog-Dienstes des Geräts zu steuern, um zusätzliche Befehle zu verschleiern.
- Die böswilligen Akteure waren in der Lage, die AAA-Konfiguration (Authentifizierung, Autorisierung und Abrechnung) so zu ändern, dass bestimmte von den Akteuren kontrollierte Geräte, die einer bestimmten Kennung entsprechen, Zugang zur betroffenen Umgebung erhalten konnten.
Quellen
- ArcaneDoor hackers exploit Cisco zero-days to breach govt networks (bleepingcomputer.com)
- Cisco Releases Security Updates Addressing ArcaneDoor, Vulnerabilities in Cisco Firewall Platforms | CISA
- Cisco Adaptive Security Appliance and Firepower Threat Defense Software Web Services Denial of Service Vulnerability
- Cyber Activity Impacting CISCO ASA VPNs - Canadian Centre for Cyber Security