La comunidad de ciberseguridad ha sido sacudida por la noticia de una sofisticada campaña de malware que explota dos vulnerabilidades Zero-Day en equipos de red Cisco Adaptive Security Appliances (ASA). Denominada ArcaneDoor, esta campaña ha sido atribuidas a un grupo respaldado por el Estado y sin documentación previa, denominado UAT4356 o Storm-1849 por Microsoft.
Puertas Traseras Peligrosas y Amenazas Latentes
El equipo de seguridad Cisco Talos descubrió que UAT4356 implementó dos puertas traseras como parte de esta campaña: “Line Runner” y “Line Dancer”. Estos implantes permitieron acciones maliciosas como modificación de configuraciones, reconocimiento, captura y exfiltración de tráfico de red, y potencialmente movimiento lateral dentro de las redes afectadas.
CVE-2024-20353: Vulnerabilidad de denegación de servicio en los servicios web de Cisco ASA y Firepower Threat Defense, con una puntuación CVSS de 8,6.
CVE-2024-20359: Vulnerabilidad de ejecución persistente de código local en el software de Cisco ASA y Firepower Threat Defense, con una puntuación CVSS de 6,0. Esta vulnerabilidad permite a un atacante local ejecutar código arbitrario con privilegios de nivel root.
Campaña Bien Planificada y Persistente
Lo que hace única a esta campaña es la meticulosa atención del grupo para ocultar sus huellas y la capacidad de emplear métodos avanzados para evadir el análisis forense en memoria. Los actores parecen tener una comprensión completa del funcionamiento interno de ASA y las acciones forenses comunes que utiliza Cisco para validar la integridad de los dispositivos de red.
En cuanto a la ruta de acceso inicial utilizada para violar los dispositivos, aún se desconoce, pero se dice que UAT4356 comenzó los preparativos para ello desde julio de 2023. Un punto de apoyo exitoso fue seguido por el despliegue de los implantes “Line Dancer” y “Line Runner”, donde este último es una puerta trasera basada en HTTP que puede persistir a través de reinicios y actualizaciones.
Riesgo para la Seguridad de Redes Perimetrales
El incidente destaca el creciente interés de los cibercriminales por atacar dispositivos perimetrales como servidores de correo electrónico, firewalls y VPN, que históricamente carecen de soluciones de detección y respuesta de endpoints (EDR). Cisco Talos no especificó cuántos clientes fueron comprometidos, pero se ha observado que tanto grupos cibernéticos respaldados por China como por Rusia han atacado dispositivos de red Cisco para ciberespionaje en el pasado.
Medidas de Mitigación y Recomendaciones
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) agregó las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las correcciones proporcionadas por los proveedores antes del 1 de mayo de 2024.
Para mitigar el riesgo de estos ataques, es fundamental aplicar las siguientes medidas:
- Parches Rutinarios: Asegúrese de mantener los dispositivos de red perimetral actualizados con los últimos parches de seguridad.
- Monitoreo Constante: Implemente un sistema de monitoreo y alerta para detectar actividad sospechosa en los dispositivos de red.
- Pruebas de Vulnerabilidades: Realice pruebas de vulnerabilidad y auditorías de seguridad regularmente para detectar posibles puntos débiles.