Cisco Firewall Hack: un’operazione di spionaggio
Un gruppo di hacking non identificato — creduto essere un attore di minaccia nazionale — ha preso di mira i firewall Cisco in un’operazione di spionaggio che, secondo le agenzie di cybersecurity, mira alle reti governative e alle infrastrutture critiche.
Il gruppo ArcaneDoor
Cisco ha soprannominato la campagna “ArcaneDoor” e ha avvertito che sta prendendo di mira dispositivi che eseguono il suo Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) software. L’azienda ha rilasciato patch per tre vulnerabilità zero-day che stanno venendo sfruttate negli attacchi e sta incoraggiando i clienti a applicarle immediatamente.
Un avviso congiunto del National Cyber Security Centre del Regno Unito, del Canadian Centre for Cyber Security e dell’Australian Signals Directorate’s Australian Cyber Security Centre ha anche incoraggiato l’applicazione urgente delle patch. Secondo l’avviso, le agenzie hanno monitorato la campagna dall’inizio dell’anno e ritengono che la sua natura sofisticata, che coinvolge “multiple layers of novel techniques and the concurrent operations against multiple targets around the world”, sia motivo di preoccupazione.
“Le capacità sono indicative di spionaggio condotto da un attore statale ben risorse e sofisticato”, hanno detto le agenzie.
Le vulnerabilità
Le due vulnerabilità aggiunte al Known Exploited Vulnerabilities Catalog dell’US Cybersecurity and Infrastructure Security Agency (CISA) sono CVE-2024-20353, una vulnerabilità infinite loop che può portare a un rifiuto di servizio remoto, e CVE-2024-20359, una vulnerabilità di escalation dei privilegi che può consentire l’escalation dei privilegi locali da amministratore a root.
Il responsabile
Il gruppo responsabile degli attacchi è tracciato come UAT4356 da Cisco e come STORM-1849 da Microsoft, ma nessuna delle parti ha commentato a quale stato-nazione è associato.
I dispositivi perimetrali: un punto di ingresso perfetto
In un avviso di minaccia separato, Cisco Talos, l’organizzazione di intelligence sulle minacce informatiche dell’azienda, ha descritto la campagna ArcaneDoor come l’ultimo esempio di attori sponsorizzati dallo stato che prendono di mira i dispositivi perimetrali. Secondo Talos, i dispositivi perimetrali sono il punto di ingresso perfetto per le campagne di spionaggio e devono essere patchati regolarmente e monitorati da vicino.
“Gaining a foothold on these devices allows an actor to directly pivot into an organization, reroute or modify traffic and monitor network communications,” ha detto Talos.
Consigli e Best Practice
Per proteggersi da questo tipo di minaccia, è importante seguire queste best practice:
- Applicare le patch: Assicurati di applicare le patch per le vulnerabilità note il più presto possibile.
- Monitorare attentamente: Monitora attentamente i dispositivi perimetrali per rilevare qualsiasi attività sospetta.
- Utilizzare software e hardware aggiornati: Assicurati di utilizzare le versioni più recenti del software e del hardware.
- Configurare correttamente: Assicurati che i dispositivi siano configurati correttamente e che le credenziali siano gestite in modo sicuro.
- Educare il personale: Assicurati che il personale sia a conoscenza delle minacce e sappia cosa fare in caso di sospetto di attività dannose.
L’attacco hacking sofisticato ai firewall Cisco è una chiara minaccia di spionaggio nazionale. Seguendo le best practice di sicurezza e applicando le patch, puoi aiutare a proteggere la tua organizzazione da questo tipo di minaccia.
