‘Staatsgesponsorde’ hackers maken al maandenlang gebruik van nieuw ontdekte zerodays en backdoors in firewalls van Cisco om spionageaanvallen uit te voeren.
Het Cisco Talos-beveiligingsteam publiceerde op woensdag een uitgebreide blog om de wereld te waarschuwen voor spionageaanvallen die langs zijn firewalls passeren. De aanvallers maken misbruik van meerdere kwetsbaarheden in de Adaptive Security Appliance-software om de firewall te omzeilen. Aangezien bekende slachtoffers voornamelijk overheidsorganisaties zijn, is Cisco ervan overtuigd dat ook de daders in opdracht van een natiestaat opereren, vermoedelijk China.
Het doel van een spionage-aanval is om onder de radar te blijven, en daar zijn de hackers vrij goed in geslaagd. Uit onderzoek blijkt dat de kwetsbaarheden al sinds november 2023 misbruikt werden, met eerste meldingen van slachtoffers sinds januari. Voorbereidingen waren sinds juli al aan de gang. De aanvallers maakten gebruik van allerlei technieken om hun sporen uit te wissen.
Over de lijn
Twee zeroday-kwetsbaarheden bleken de vector voor de spionage-aanvallen te zijn, CVE-2024-20359 en CVE-2024-20353. Die openen de deur van twee eveneens nog niet eerder ontdekte backdoors in de software die de creatieve namen Line Dancer en Line Runner krijgen. Line Dancer is een virus dat alleen uit geheugen bestaat en hierdoor kan het moeilijker worden gedetecteerd.
Zodra Line Dancer is geïnstalleerd, kunnen de hackers een eenvoudig niet-geauthenticeerd webverzoek gebruiken om kwaadaardige code te verzenden via de host-scan-reply-component. Line Runner zorgt vervolgens voor dat infecties het herstarten van het device overleven.
Cisco adviseert bedrijven om eerst na te gaan of zij mogelijk slachtoffer zijn. In de blog wordt uitvoerig beschreven welke stappen kunnen worden genomen. Er is inmiddels ook een patch beschikbaar die de achterpoortjes weer sluit. Ook wie (nog) niet ten prooi is gevallen, installeert die patch best zo snel mogelijk.
De muur gesloopt
Het incident met Cisco-firewalls is niet geïsoleerd. Recent zijn met enige regelmatig schadelijke kwetsbaarheden in beveiligingsapparatuur aan het licht gekomen, waaronder bij VPN-leverancier Ivanti. De taak van een firewall is net om indringers buiten te houden, maar ze kunnen evengoed zelf een interessant doelwit zijn, omdat het aan het begin van een netwerk staat.
Het illustreert dat alleen een firewall installeren niet voldoende is om op beide oren te kunnen slapen. Eens aanvallers voorbij de muur zijn, ben je een vogel voor de kat als je geen bijkomende verdedigingswapens hebt.
lees ook