Résumé

Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant desvulnérabilités affectant les équipements de sécurité ASA et FTD.

Deux d'entre eux concernent les vulnérabilités CVE-2024-20353 etCVE-2024-20359 qui sont activement exploitées dans le cadre d'attaquesciblées.

La vulnérabilité CVE-2024-20359 permet à un utilisateur authentifié avecdes droits administrateur d'exécuter du code arbitraire avec lesprivilèges root.

En effet, si l'attaquant parvient à écrire un fichier malveillant sur lesystème de fichier du disk0:, cela lui permet d'exécuter son code auprochain redémarrage de l'équipement. Cisco indique que l'attaquant peutexploiter la vulnérabilité CVE-2024-20353 pour déclencher sonredémarrage.

Dans son billet de blogue [1], Cisco Talos détaille l'historique desexploitations et indique que les premières infections constatéesremontent à début janvier 2024.

L'éditeur indique ne pas avoir connaissance du vecteur initiald'infection. Toutefois une fois sur l'équipement, l'attaquant exploiteces deux vulnérabilités pour mettre en place un implant, nommé LineRunner par Talos, qui est une porte dérobée persistante.

La présence d'un autre implant, Line Dancer, a été constaté sur deséquipements compromis.

Celui-ci est présent uniquement en mémoire et permet à l'attaquant :

• de désactiver les journaux d'activité système ;
• de récupérer des élements de configuration ;
• d'effectuer et d'exfiltrer des captures réseaux ;
• d'exécuter des commandes arbitraires ;
• de s'insérer dans le processus de vidage après erreur (crash dump)afin de réduire la trace de son activité ;
• de s'insérer dans le processus d'authentification, authaurisation ettracabilité (Authentication, Authorization and Accounting, AAA)afin de contourner ces mécanismes.

Cisco conseille dans un premier temps d'appliquer les mises à jour desécurité. Avant de mener les actions d'investigations et de remédiationspréconisées par Talos [1][2], le CERT-FR recommande de déconnecterl'équipement d'Internet.

Talos insiste sur le fait de ne pas redémarrer l'équipement ou tenter derécupérer une image mémoire si les investigations initiales montrent unemodification des droits d'exécution de certaines zones mémoire.