Zalecenia CERT Polska w zakresie Cisco ASA lub Cisco FTD
17 maja 2024
Komunikat CERT Polska z 15 maja 2024
CERT Polska przekazał komunikat, że w dniu 24 kwietnia firma CISCO poinformowała o odkryciu kilku podatności oznaczonych jako CVE-2024-20353, CVE-2024-20358 oraz CVE-2024-2359, które pozwalają nieautoryzowanemu użytkownikowi na wykonanie ataku typu DoS, jak również lokalne wykonanie kodu i komend z uprawnieniami roota w przypadku użytkowników z uprawnieniami administratora.
Cisco ASA lub Cisco FTD
Wymienione powyżej podatności dotyczą urządzeń Cisco ASA lub Cisco FTD.
Powyższe podatności są wykorzystywane przez grupę APT w celu przejmowania kontroli nad urządzeniami i uzyskania w ten sposób dostępu do sieci wewnętrznej danego podmiotu.
Weryfikacja podatności lub ewentualnego przejęcia
Z uwagi na powyższe CERT Polska zaleca podjęcie działań w celu weryfikacji, czy wskazane urządzenia faktycznie są podatne i czy nie doszło do ich przejęcia.
W tym celu należy zweryfikować, czy dane urządzenie nie nawiązywało połączeń z adresami IP wskazanymi w załączniku. W przypadku podejrzenia, że atakujący uzyskali dostęp do urządzenia CERT Polska prosi o kontakt z odpowiednim CSIRTem szczebla krajowego oraz sugeruje wykonać poniższe kroki.
- Zalogować się do konsoli CLI urządzenia (w przypadku oprogramowania FTD Software, należy przełączyć się na konsolę CISCO ASA komendą diagnostic-cli)
- Przełączyć się do trybu uprzywilejowanego (komenda enable)
- Zebrać wyniki następujących komend:
- show version
verify /SHA-512 system:memory/text
debug menu memory 8 - Skontaktować się z pomocną techniczną CISCO (TAC), wskazując słowo kluczowe ArcaneDoor i przesyłając wyniki zebrane z komend wykonanych w kroku opisanym punkt wyżej.