Haavoittuvuus14/2024CVSS 8.6CVE-2024-20353 (Ulkoinen linkki)
Cisco Adaptive Security Appliance ja Firepower Threat Defense tuotteissa on havaittu haavoittuvuuksia, joita on käytetty osana valtiollisen toimijan suorittamia kyberhyökkäyksiä. Valmistaja on julkaissut korjaavat ohjelmistopäivitykset sekä ohjeita mahdollisen tietomurron havaitsemiseksi.
Haavoittuvuuden kohde
Cisco Adaptive Security Appliance (ASA) sekä Firepower Threat Defense (FTD) ovat Suomessakin suosittuja palomuurituotteita, jotka mahdollistavat organisaatioille esimerkiksi sisäverkon ja verkon reunan suojaamisen sekä turvallisten etäyhteyksien toteuttamisen.
Seuraavat haavoittuvuudet koskevat organisaatioita, joilla kyseinen tuote on käytössä haavoittuvalla versiolla tai konfiguraatiolla:
CVE-2024-20353
Cisco ASA ja FTD -tuotteet, joissa on käytössä haavoittuva ohjelmistoversio:
Cisco ASA versiot ennen 9.12.4.67
Cisco ASA versiot ennen 9.16.4.57
Cisco ASA versiot ennen 9.18.4.22
Cisco ASA versiot ennen 9.19.1.28
Cisco ASA versiot ennen 9.20.2.10
Cisco FTD versiot ennen 7.4.1.1
Cisco FTD versiot ennen 7.2.6
Cisco FTD versiot ennen 7.0.6.2
sekä yksi tai useampi haavoittuva konfiguraatio valmistajan haavoittuvuustiedotteessa kuvatun mukaisesti:
CVE-2024-20359 ja CVE-2024-20358
Cisco ASA ja FTD -tuotteet, joissa on käytössä haavoittuva ohjelmistoversio:
Cisco ASA versiot ennen 9.12.4.67
Cisco ASA versiot ennen 9.16.4.57
Cisco ASA versiot ennen 9.18.4.22
Cisco ASA versiot ennen 9.19.1.28
Cisco ASA versiot ennen 9.20.2.10
Cisco FTD versiot ennen 7.4.1.1
Cisco FTD versiot ennen 7.2.6
Cisco FTD versiot ennen 7.0.6.2
valmistajan haavoittuvuustiedotteessa kuvatun mukaisesti:
Mistä on kysymys?
Vuoden 2024 alkupuolelta alkaen Ciscon PSIRT havaitsi Cisco Adaptive Security Appliance (ASA) ja Cisco Firepower Threat Defense (FTD) -laitteisiin kohdistuvia hyökkäyksiä, joissa hyökkääjä oli pyrkinyt asentamaan haavoittuviin laitteisiin haittaohjelmia sekä varastamaan niistä tietoja. Tutkijat ovat antaneet hyökkäyskampanjalle nimen ArcaneDoor.
Cisco ei ole vielä onnistunut tunnistamaan hyökkäyksiin liittyvää ensimmäisen sisääntulovaiheen hyökkäysvektoria, mutta hyökkäysketjuun liittyviin muihin haavoittuvuuksiin (CVE-2024-20353 ja CVE-2024-20359) on nyt julkaistu korjaavat ohjelmistopäivitykset. Ohjelmistopäivitykset korjaavat ohjelmiston heikkouksia, jotka voivat antaa hyökkääjälle mahdollisuuden asentaa haittaohjelmia sekä saada jalansija kyseiseen laitteeseen.
Haavoittuvuuksille ei ole vielä julkista hyväksikäyttömenetelmää tai haavoittuvuuden havainnollistavaa esimerkkikoodia (PoC).
Mitä voin tehdä?
Organisaatioita suositellaan asentamaan korjaavat päivitykset välittömästi sekä noudattamaan valmistajan julkaisemia ohjeita.
Päivitysten yhteydessä on tarpeen tutkia, onko viitteitä tietomurrosta. Cisco Talos on julkaissut blogissaan indikaattoreita tietomurron havaitsemiseksi:
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices (Ulkoinen linkki)
CCCS ja NCSC-UK ovat julkaisseet yhdessä tiedotteen hyökkäyksiin liittyen jossa on myös ohjeita tietomurtotutkintaa ja toimenpiteitä varten:
Cyber Activity Impacting CISCO ASA VPNs (Ulkoinen linkki)
Valmistajan julkaisemia ohjeita Cisco palomuuriohjelmistojen tietomurtotutkintaan:
Cisco Event Response: Attacks Against Cisco Firewall Platforms (Ulkoinen linkki)
Cisco ASA Forensic Investigation Procedures for First Responders (Ulkoinen linkki)
Kyberturvallisuuskeskukselle voi matalla kynnyksellä ilmoittaa haavoittuvuuksien hyväksikäyttöön liittyvistä havainnoista. Havainnot voi ilmoittaa kotisivujemme lomakkeella (Ulkoinen linkki)tai cert@traficom.fi -sähköpostiosoitteen kautta.
Tarkennettu haavoittuvia ohjelmistoversioita sekä lisätty linkki CCCS ja NCSC-UK tiedotteeseen.