Original source (on modern site) | Article images: [1] [2]
Normalerweise versuchen Angreifer über den offensichtlich schwächsten Punkt - also den normalen Nutzer - in eine IT-Infrastruktur einzudringen. Nun aber wurde ein Fall bekannt, in dem sie direkt über die gesicherte Vordertür kamen - die Firewalls von Cisco.
Der Netzwerkausrüster wies darauf hin, dass professionelle, staatlich gestützte Hacker-Teams mindestens zwei Zero-Day-Schwachstellen in seinen ASA-Firewall-Plattformen ausnutzen, um Malware in Telekommunikations- und Energienetzwerke einzuschleusen. Die Schwachstellen wurden in der Cisco Adaptive Security Appliance (ASA) und der Cisco Firepower Threat Defense (FTD) entdeckt.
Die hauseigenen Sicherheitsexperten von Cisco Talos buchten die beiden Schwachstellen, die von der als ArcaneDoor bezeichneten Malware-Kampagne ausgenutzt werden, unter den Kennungen CVE-2024-20353 und CVE-2024-20359 in die Security-Datenbanken ein.
Dabei konnten die grundlegenden Probleme zwar erkannt werden, trotzdem sind die Fachleute sich bisher nicht sicher, wie genau die Angreifer in die Systeme eindringen konnten. Denn um die gut abgesicherten Systeme zu kompromittieren, ist mehr als nur ein Exploit gegen die gefundenen Bugs nötig. "Wir haben den ursprünglichen Zugangsvektor, der in dieser Kampagne verwendet wurde, bislang nicht ermittelt. Wir haben bisher keine Beweise für eine Ausnutzung der Vorauthentifizierung gefunden", erklärte Cisco Talos.
Auf die Spur kam man dem Problem, als ein nicht namentlich genannter Kunde den Hersteller Anfang des Jahres über "Sicherheitsbedenken" bei ASA-Firewall-Produkten informierte. Dies setzte eine Untersuchung in Gang, in deren Folge tatsächlich ein Bedrohungsakteur gefunden werden konnte. Dieser wird von Talos als UAT4356 und vom Microsoft Threat Intelligence Center als STORM-1849 beobachtet.
"Dieser Akteur nutzte maßgeschneiderte Tools, die einen klaren Fokus auf Spionage und ein tiefgreifendes Wissen über die Geräte, auf die er es abgesehen hatte, erkennen lassen - Merkmale eines hoch entwickelten staatlich gesponserten Akteurs", so das Unternehmen. "In Zusammenarbeit mit Opfern und Geheimdienstpartnern hat Cisco eine ausgeklügelte Angriffskette aufgedeckt, die dazu verwendet wurde, kundenspezifische Malware zu implantieren und Befehle bei einer kleinen Anzahl von Kunden auszuführen."
Angriffsweg noch unklar
![[1]](image.php?loc=DE&i=https://img.winfuture.de/teaser/1920/41605.jpg){kind=link}
![[2]](image.php?loc=DE&i=https://i.wfcdn.de/teaser/660/41604.jpg){kind=link}