Cisco: Angreifer plazieren mithilfe neuer 0-Day-Lücke Hintertüren auf Firewalls
Zwei geschickt gestaltete Hintertüren auf Geräten mit Ciscos ASA- und FTD-System überleben Reboots und Systemupdates. Viele Details sind noch unklar.
Schwachstellen bedrohen Cisco-Geräte.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Der Netzwerkausrüster Cisco hat ausgeklügelte Hintertüren auf Geräten mit den Betriebssystemen Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) entdeckt. Die unbekannten Angreifer griffen seit Januar mithilfe zuvor unbekannter Zero-Day-Sicherheitslücken ausgewählte Opfer an; einige Details sind jedoch noch unklar. Cisco stellt Updates bereit, Admins sollten die Entwicklung im Auge behalten.
Die Backdoors, von Cisco "Line Runner" und "Line Dancer" getauft, gelangen mithilfe einer noch unbekannten Methode auf die Geräte – ob die Angreifer Admin-Zugangsdaten ihrer Opfer abgefischt oder sich einer weiteren Sicherheitslücke bedient haben, konnte Ciscos Sicherheitsabteilung bislang nicht herausfinden.
Klar ist jedoch, dass sie dank der Sicherheitslücke CVE-2024-20353 (CVSS 8,6, Risiko "hoch") die Ausführung von Schadcode provozieren konnten, den sie in einem ZIP-Archiv auf die Geräte hochluden. Dann brachten sie das betroffene Gerät mittels einer weiteren Sicherheitslücke, CVE-2024-20359 (CVSS 6,0, Risiko "mittel") zum Neustart und erreichten, dass ihre Hintertür sich dauerhaft auf dem Gerät einnistet.
Eine dritte Sicherheitslücke mit der CVE-ID CVE-2024-20358 (CVSS 6,0, Risiko "mittel") scheint nicht mit der Angriffskampagne im Zusammenhang zu stehen, erlaubt aber ebenfalls die Ausführung von Schadcode durch Angreifer mit Zugriff auf ein Administrator-Konto.
Unbekannte Angreifer mit Spionageabsichten
Wer hinter dem Angriff steckt, ist noch unklar – Cisco vermutet staatlich finanzierte Akteure, die über extrem detailliertes technisches Wissen verfügen und deren Mission Spionage ist. Dafür spräche auch, so die Cisco-Experten, dass der Angriff nicht auf breiter Front, sondern zielgerichtet nur gegen bestimmte Ziele stattgefunden habe.
Der Netzwerkausrüster hat das Vorgehen der Angreifer, die er mit dem Codenamen "UAT4356" ("STORM-1849" in Microsofts Nomenklatur) versehen hat, in einem ausführlichen Blogposting aufgedeckt, das auch Indicators of Compromise (IoC), also Hinweise auf eine Kompromittierung enthält.
Drei Cisco-Sicherheitsmeldungen enthalten zudem Hinweise auf Updates für potentiell angreifbare Geräte – je ein Advisory zu CVE-2024-20353, CVE-2024-20358 und CVE-2024-20359.
Administratoren, die bei ihren Firewalls unlängst seltsames Verhalten inklusive ungeplanter Neustarts beobachteten, sollten dringend einen genaueren Blick auf die Geräte werfen, Updates einspielen und die von Cisco skizzierten Gegenmaßnahmen ergreifen.
Im Expertenforum von heise Security Pro gibt es bereits seit gestern einen Thread zu diesem Thema. Dort können Sicherheitsverantwortliche ihre Gegenmaßnahmen diskutieren.
Zwischenzeitlich veröffentlichte auch das BSI einen Cyber-Warnhinweis zu den Sicherheitslücken in ASA und FTD. Das britische Äquivalent zum BSI, das National Cyber Security Center (NCSC), steuert in seiner Kurzanalyse zudem eine Yara-Regel bei, die beim Aufspüren der Hintertür hilft.
Auch das BSI warnt mittlerweile vor den Sicherheitslücken. In der Cyber-Sicherheitswarnung erwähnen die Bonner zudem noch eine dritte Sicherheitslücke, die wir im Text oben ergänzt haben. Das Risiko von CVE-2024-20358 haben wir auf "mittel" korrigiert - die korrekte Risikobezeichnung bei einem CVSS-Score von 6,0. Wir haben zudem einen Verweis auf das NCSC-Dokument ergänzt.
(cku)
