Firewalls van Cisco zijn al maandenlang het doelwit van aanvallen waarbij twee zerodaylekken worden gebruikt, zo heeft het bedrijf zelf laten weten. Bij de aanvallen weten de aanvallers malware op de firewalls te installeren. Hoe de aanvallers toegang tot de firewalls weten te krijgen is onbekend. Het zerodaylek aangeduid als CVE-2024-20359 maakt het mogelijk voor een aanvaller om willekeurige code met rootrechten op de firewall uit te voeren.

Dit is echter alleen mogelijk als de aanvaller al admintoegang tot de firewall heeft. De andere zeroday, CVE-2024-20353, wordt gebruikt om te voorkomen dat de firewall een crash dump kan genereren, wat details over de aanval bevat. Via de kwetsbaarheid vindt er meteen een reboot van de firewall plaats, wat forensisch onderzoek zo bemoeilijkt.

Zodra de aanvallers toegang tot een Cisco-firewall hebben worden er twee backdoors geïnstalleerd die Cisco “Line Runner” en “Line Dancer” noemt. Via de backdoors wijzigen de aanvallers de configuratie van de firewall, verzamelen netwerkverkeer en kunnen zich lateraal door het netwerk bewegen. De Britse overheid maakte een analyse van beide backdoors (pdf1, pdf2).

Cisco stelt dat begin januari de eerste aanvallen zijn waargenomen waarbij de zerodays zijn ingezet. Vorig jaar juli zouden de aanvallers echter al zijn begonnen met het testen van de aanval. De Australische overheid laat weten dat verschillende firewalls in Australië zijn gecompromitteerd. Cisco heeft updates beschikbaar gemaakt om de zerodays te verhelpen. Volgens het netwerkbedrijf zijn de aanvallen het werk van een statelijke actor en is “klein aantal” klanten doelwit geworden.

Bron: security.nl