Cisco ağ donanımının 2 sıfırıncı gün açığı ile hacklendiği raporlanıyor. ArcaneDoor olarak adlandıran açık konusunda Cisco Talos, bunu UAT4356 (diğer adıyla Microsoft tarafından Storm-1849) adı altında takip edilen, daha önce belgelenmemiş, karmaşık, devlet destekli bir aktörün eseri olarak kaydetti ve şunları söyledi :
“UAT4356, bu kampanyanın bileşenleri olarak ‘Line Runner’ ve ‘Line Dancer’ adlı iki arka kapıyı konuşlandırdı; bunlar, yapılandırma değişikliği, keşif, ağ trafiğini yakalama/sızma ve potansiyel olarak yanal hareket dahil olmak üzere hedefe yönelik kötü niyetli eylemler gerçekleştirmek için toplu olarak kullanıldı. “
İlk olarak Ocak 2024’ün başlarında tespit edilen ve onaylanan izinsiz girişler, iki güvenlik açığından yararlanılmasını gerektiriyor :
- CVE-2024-20353 (CVSS puanı: 8,6) – Cisco Adaptive Security Appliance ve Firepower Tehdit Savunma Yazılımı Web Hizmetlerinde Hizmet Reddi Güvenlik Açığı
- CVE-2024-20359 (CVSS puanı: 6,0) – Cisco Adaptive Security Appliance ve Firepower Tehdit Savunma Yazılımında Kalıcı Yerel Kod Yürütme Güvenlik Açığı
UAT4356’nın hazırlıklarına Temmuz 2023 gibi erken bir zamanda başladığı söylense de, cihazlara sızmak için kullanılan ilk erişim yolu henüz bilinmiyor. Başarılı bir tutunmayı, Line Dancer ve Line Runner adlı iki implantın konuşlandırılması izliyor; bunlardan ilki, saldırganların sistem günlüklerini devre dışı bırakma ve paket yakalamalarını sızdırma da dahil olmak üzere rastgele kabuk kodu yüklerini yüklemesine ve yürütmesine olanak tanıyan bir bellek içi arka kapıdır.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), eksiklikleri Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumların satıcı tarafından sağlanan düzeltmeleri 1 Mayıs 2024’e kadar uygulamasını zorunlu kıldı.
Saldırının her aşamasında, UAT4356’nın dijital ayak izlerini gizleme konusunda titiz bir dikkat gösterdiği ve hafıza adli tıplarından kaçınmak ve tespit edilme şansını azaltmak için karmaşık yöntemler kullanma becerisi gösterdiği ve bunun da karmaşıklığına ve yakalanması zor doğasına katkıda bulunduğu söyleniyor.
ArcaneDoor’un arkasında tam olarak hangi ülkenin olduğu belirsiz ancak hem Çin hem de Rus devlet destekli bilgisayar korsanları geçmişte siber casusluk amacıyla Cisco yönlendiricilerini hedef aldığı not ediliyor. Cisco Talos, bu saldırılarda kaç müşterinin güvenliğinin ihlal edildiğini de belirtmedi.