CERTFR-2024-ALE-007
Vulnerability from certfr_alerte

Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des vulnérabilités affectant les équipements de sécurité ASA et FTD.

Deux d'entre eux concernent les vulnérabilités CVE-2024-20353 et CVE-2024-20359 qui sont activement exploitées dans le cadre d'attaques ciblées.

La vulnérabilité CVE-2024-20359 permet à un utilisateur authentifié avec des droits administrateur d'exécuter du code arbitraire avec les privilèges root.

En effet, si l'attaquant parvient à écrire un fichier malveillant sur le système de fichier du disk0:, cela lui permet d'exécuter son code au prochain redémarrage de l'équipement. Cisco indique que l'attaquant peut exploiter la vulnérabilité CVE-2024-20353 pour déclencher son redémarrage.

Dans son billet de blogue [1], Cisco Talos détaille l'historique des exploitations et indique que les premières infections constatées remontent à début janvier 2024.

L'éditeur indique ne pas avoir connaissance du vecteur initial d'infection. Toutefois une fois sur l'équipement, l'attaquant exploite ces deux vulnérabilités pour mettre en place un implant, nommé Line Runner par Talos, qui est une porte dérobée persistante.

La présence d'un autre implant, Line Dancer, a été constaté sur des équipements compromis.

Celui-ci est présent uniquement en mémoire et permet à l'attaquant :

  • de désactiver les journaux d'activité système ;
  • de récupérer des élements de configuration ;
  • d'effectuer et d'exfiltrer des captures réseaux ;
  • d'exécuter des commandes arbitraires ;
  • de s'insérer dans le processus de vidage après erreur (crash dump) afin de réduire la trace de son activité ;
  • de s'insérer dans le processus d'authentification, authaurisation et tracabilité (Authentication, Authorization and Accounting, AAA) afin de contourner ces mécanismes.

Cisco conseille dans un premier temps d'appliquer les mises à jour de sécurité. Avant de mener les actions d'investigations et de remédiations préconisées par Talos [1][2], le CERT-FR recommande de déconnecter l'équipement d'Internet.

Talos insiste sur le fait de ne pas redémarrer l'équipement ou tenter de récupérer une image mémoire si les investigations initiales montrent une modification des droits d'exécution de certaines zones mémoire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
Cisco N/A Cisco Adaptive Security Appliance (ASA) sans les derniers correctifs de sécurité, se référer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)
Cisco N/A Cisco Firepower Threat Defense (FTD) sans les derniers correctifs de sécurité, se référer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Cisco Adaptive Security Appliance (ASA) sans les derniers correctifs de s\u00e9curit\u00e9, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour les versions vuln\u00e9rables (cf. section Documentation)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Cisco Firepower Threat Defense (FTD) sans les derniers correctifs de s\u00e9curit\u00e9, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour les versions vuln\u00e9rables (cf. section Documentation)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2024-07-01",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2024-20353",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-20353"
    },
    {
      "name": "CVE-2024-20359",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-20359"
    }
  ],
  "initial_release_date": "2024-04-25T00:00:00",
  "last_revision_date": "2024-07-01T00:00:00",
  "links": [
    {
      "title": "Communication Cisco",
      "url": "https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response"
    },
    {
      "title": "[2] Proc\u00e9dure d\u0027investigation de Cisco sur les \u00e9quipements ASA",
      "url": "https://sec.cloudapps.cisco.com/security/center/resources/forensic_guides/asa_forensic_investigation.html"
    },
    {
      "title": "[1] Billet de blogue Cisco Talos du 24 avril 2024",
      "url": "https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/"
    },
    {
      "title": "Avis CERTFR-2024-AVI-0307 du 15 avril 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0347/"
    }
  ],
  "reference": "CERTFR-2024-ALE-007",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-04-25T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-07-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    }
  ],
  "summary": "Le 24 avril 2024, Cisco a publi\u00e9 trois avis de s\u00e9curit\u00e9 concernant des\nvuln\u00e9rabilit\u00e9s affectant les \u00e9quipements de s\u00e9curit\u00e9 ASA et FTD.\n\nDeux d\u0027entre eux concernent les vuln\u00e9rabilit\u00e9s CVE-2024-20353 et\nCVE-2024-20359 qui sont activement exploit\u00e9es dans le cadre d\u0027attaques\ncibl\u00e9es.\n\nLa vuln\u00e9rabilit\u00e9 CVE-2024-20359 permet \u00e0 un utilisateur authentifi\u00e9 avec\ndes droits administrateur d\u0027ex\u00e9cuter du code arbitraire avec les\nprivil\u00e8ges *root*.\n\nEn effet, si l\u0027attaquant parvient \u00e0 \u00e9crire un fichier malveillant sur le\nsyst\u00e8me de fichier du *disk0:*, cela lui permet d\u0027ex\u00e9cuter son code au\nprochain red\u00e9marrage de l\u0027\u00e9quipement. Cisco indique que l\u0027attaquant peut\nexploiter la vuln\u00e9rabilit\u00e9 CVE-2024-20353 pour d\u00e9clencher son\nred\u00e9marrage.\n\nDans son billet de blogue \\[1\\], Cisco Talos d\u00e9taille l\u0027historique des\nexploitations et indique que les premi\u00e8res infections constat\u00e9es\nremontent \u00e0 d\u00e9but janvier 2024.\n\nL\u0027\u00e9diteur indique ne pas avoir connaissance du vecteur initial\nd\u0027infection. Toutefois une fois sur l\u0027\u00e9quipement, l\u0027attaquant exploite\nces deux vuln\u00e9rabilit\u00e9s pour mettre en place un implant, nomm\u00e9 *Line\nRunner* par Talos, qui est une porte d\u00e9rob\u00e9e persistante.\n\nLa pr\u00e9sence d\u0027un autre implant, *Line Dancer,* a \u00e9t\u00e9 constat\u00e9 sur des\n\u00e9quipements compromis.\n\nCelui-ci est pr\u00e9sent uniquement en m\u00e9moire et permet \u00e0 l\u0027attaquant :\n\n-   de d\u00e9sactiver les journaux d\u0027activit\u00e9 syst\u00e8me ;\n-   de r\u00e9cup\u00e9rer des \u00e9lements de configuration ;\n-   d\u0027effectuer et d\u0027exfiltrer des captures r\u00e9seaux ;\n-   d\u0027ex\u00e9cuter des commandes arbitraires ;\n-   de s\u0027ins\u00e9rer dans le processus de vidage apr\u00e8s erreur (*crash dump*)\n    afin de r\u00e9duire la trace de son activit\u00e9 ;\n-   de s\u0027ins\u00e9rer dans le processus d\u0027authentification, authaurisation et\n    tracabilit\u00e9 (*Authentication, Authorization and Accounting, AAA*)\n    afin de contourner ces m\u00e9canismes.\n\nCisco conseille dans un premier temps d\u0027appliquer les mises \u00e0 jour de\ns\u00e9curit\u00e9. Avant de mener les actions d\u0027investigations et de rem\u00e9diations\npr\u00e9conis\u00e9es par Talos \\[1\\]\\[2\\], le CERT-FR recommande de d\u00e9connecter\nl\u0027\u00e9quipement d\u0027Internet.\n\nTalos insiste sur le fait de ne pas red\u00e9marrer l\u0027\u00e9quipement ou tenter de\nr\u00e9cup\u00e9rer une image m\u00e9moire si les investigations initiales montrent une\nmodification des droits d\u0027ex\u00e9cution de certaines zones m\u00e9moire.\n\n\u00a0\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Cisco",
  "vendor_advisories": [
    {
      "published_at": "2024-04-24",
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-websrvs-dos-X8gNucD2",
      "url": "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2"
    },
    {
      "published_at": "2024-04-24",
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-persist-rce-FLsNXF4h",
      "url": "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.