シスコのゼロデイ2件、政府狙うスパイキャンペーン「ArcaneDoor」で悪用される:CVE-2024-20353、CVE-2024-20359
(情報源:Cisco Talos、BleepingComputer)
シスコは24日、ファイアウォール製品におけるゼロデイCVE-2024-20353およびCVE-2024-20359が2023年11月から国家支援型ハッキンググループUAT4356によって悪用されていると注意喚起。STORM-1849の名称でも追跡されている同グループは、サイバースパイキャンペーン「ArcaneDoor」において両脆弱性を使い、世界中の政府ネットワークを標的にしているという。
CVE-2024-20353、CVE-2024-20359:Cisco ASAとFTDのゼロデイ
今回シスコにより悪用が確認され、修正されたのはCisco 適応型セキュリティ アプライアンス(ASA)およびCisco Firepower Threat Defense(FTD)における以下2件のゼロデイ脆弱性。いずれもシスコによる深刻度評価は「High」。
- CVE-2024-20353(CVSS 8.6、High):Cisco ASAおよびFTDソフトウェアの管理・VPN WebサーバーにおけるDoSの脆弱性。認証されていない遠隔の攻撃者に悪用されると、予期せぬデバイスのリロードが行われ、結果的にDoS状態に陥る恐れがある。
- CVE-2024-20359(CVSS 6.0、High):Cisco ASAおよびFTDソフトウェアにおいて使用可能になっている、VPNクライアントやプラグインのプレロードを可能にするレガシー機能における脆弱性。認証されたローカルの攻撃者に悪用されると、rootレベルの権限で任意のコードを実行される恐れがある。なお、この脆弱性を悪用するには管理者レベルの権限が必要。
サイバースパイキャンペーン「ArcaneDoor」
シスコがこのキャンペーンを認識したのは2024年1月初旬。この際、攻撃者によって遅くとも2023年7月から上記のゼロデイ2件を狙ったエクスプロイトがテストされ、開発されていた形跡が見つかったという。このキャンペーンの初期アクセスベクターはまだ判明していないが、両脆弱性の悪用により以下2種類のバックドアが展開されていたことが報告されている。
- Line Dancer:任意のシェルコードペイロードの配布や実行を助ける、インメモリシェルコードローダー。ロギングの無効化、リモートアクセスの提供、キャプチャされたパケットの抽出といった用途で使われるのが観測されている。
- Line Runner:複数の防御回避メカニズムを備える永続的なバックドアで、検出回避の目的で使われる。また、ハッキングシステム上での任意のLuaコードの実行も可能にする。
こうしたカスタムツールを使用している点や、明確なまでにスパイ活動に重点を置いている点、また、標的とするデバイスに関する深い知識を持つ点などは、熟練の国家支援型アクターの顕著な特徴だとシスコは指摘している。
シスコはデバイスのアップグレードを「強く推奨」
CVE-2024-20353およびCVE-2024-20359を修正するセキュリティアップデートは24日にリリースされており、同社は全顧客に対し、デバイスを修正版ソフトウェアへアップグレードするよう「強く推奨」している。併せて、管理者に対してはシステムログのモニタリングを行い、スケジュールされていないリブートや許可されていないコンフィグレーションの変更、また不審なクレデンシャルの動きがないかを確認するよう呼びかけた。
また、Cisco Talosのブログ記事には、Line DancerやLine Runnerに関するさらなる詳細のほか、IoCやMITRE TTPなども記載されている。