Lỗ hổng zero-day bị khai thác

Chiến dịch tấn công mạng này có tên là ArcaneDoor, các tin tặc đã khai thác hai lỗ hổng bảo mật bao gồm CVE-2024-20353 (lỗ hổng từ chối dịch vụ) và CVE-2024-20359 (lỗ hổng thực thi mã), cho phép các tác nhân đe dọa triển khai phần mềm độc hại và duy trì sự tồn tại trên các thiết bị ASA và FTD bị xâm nhập.

Theo đó, những kẻ tấn công đang đã nhắm vào các lỗi phần mềm trong một số thiết bị chạy các sản phẩm ASA và FTD để phát tán phần mềm độc hại, từ đó để thực thi lệnh và có khả năng đánh cắp dữ liệu từ các thiết bị bị xâm nhập.

Rà soát, cập nhật bản vá để khắc phục lỗ hổng nguy hiểm trên các sản phẩm của Cisco. Ảnh minh họa: Internet

Cisco biết đến chiến dịch ArcaneDoor vào đầu tháng 01/2024 và tìm thấy bằng chứng cho thấy những kẻ tấn công đã thử nghiệm và phát triển các hoạt động khai thác nhằm nhắm vào hai lỗ hổng zero-day ít nhất kể từ tháng 7/2023.

Một trong những phần mềm độc hại được sử dụng là Line Dancer, đây là trình tải shellcode trong bộ nhớ giúp phân phối và thực thi các payload shellcode tùy ý để vô hiệu hóa tính năng ghi nhật ký, cung cấp quyền truy cập từ xa và lọc các gói tin đã thu thập được.

Phần mềm độc hại thứ hai là backdoor Line Runner với nhiều kỹ thuật che dấu để tránh bị phát hiện bởi các giải pháp bảo mật, đồng thời cho phép kẻ tấn công chạy mã Lua tùy ý trên các hệ thống bị tấn công.

Cisco cho biết: “Các tin tặc đã sử dụng các công cụ độc hại riêng biệt để tập trung vào hoạt động VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.

Trước đó vào tháng 3/2024, công ty cũng chia sẻ hướng dẫn về cách giảm thiểu các cuộc tấn công Password Spray nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa Cisco Secure Firewall.