This post is also available in: Português
A recente revelação sobre a exploração de vulnerabilidades zero day nos firewalls Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) da Cisco reforça a necessidade de atenção e vigilância, por parte de profissionais e empresas.
O fato de um grupo de cibercriminosos, supostamente apoiado por um Estado-nação não identificado, ter conseguido operar silenciosamente desde novembro de 2023, gera preocupação, uma vez que episódios deste tipo, já não são mais tão raros, como eram a dois anos atrás.
O incidente foi descoberto pela Cisco Talos (UAT4356) e pela Microsoft (STORM-1849), no início de 2024. A campanha de espionagem cibernética recebeu o nome de ArcaneDoor e seu principal objetivo é explorar dispositivos usados nos perímetros das redes, independentemente do fabricante.
As duas vulnerabilidades, associadas aos dispositivos Cisco são: CVE-2024-20353 e CVE-2024-20359. O vetor de ataque inicial, ainda não foi identificado pelos times que pesquisam o caso, contudo as vulnerabilidades citadas foram exploradas, permitindo a implantação de backdoors, que possibilitaram modificação de configurações, captura e exfiltração de dados, execução de comandos arbitrários e movimentação lateral no ambiente.
Dados sobre as CVE´s
- CVE-2024-20353
Categoria da vulnerabilidade: Negação de serviço
Score base: 8.6
Classificação: Alta
Score de explorabilidade: 3.9
Score de impacto: 4.0
Probabilidade de exploração nos próximos 30 dias: 0.23%
Produtos afetados: Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD)
- CVE-2024-20359
Categoria da vulnerabilidade: Execução arbitrária de código
Score base: 6.0
Classificação: MÉDIA
Score de explorabilidade: 0.8
Score de impacto: 5.2
Probabilidade de exploração nos próximos 30 dias: 0.13%
Produtos afetados: Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD)
Realidade preocupante
Tal como no caso recente da MITRE, o que preocupa é o fato de que os cibercriminosos foram capazes de desenvolver e testar suas explorações desde julho de 2023, sem serem detectados. Isso sugere uma abordagem sofisticada, com os invasores explorando silenciosamente as vulnerabilidades, até que estas foram descobertas pela Cisco em janeiro.
É relevante ressaltar, que a descoberta foi motivada pela ação de um cliente que fez contato com a equipe de resposta a incidentes de segurança de produtos da Cisco, para discutir questões de segurança em seus dispositivos Cisco ASA. Este aspecto reforça a importância da colaboração, para mitigação de riscos em segurança da informação.
O financiamento do cibercrime, por parte de nações/estados, talvez seja uma das preocupações mais relevantes no momento, pois as reais motivações destas investidas ainda não foram expostas publicamente, gerando expectativa em âmbito global.
Mitigação dos riscos e resolução do problema
A resposta da Cisco ao emitir atualizações de segurança é importante, mas também levanta questões sobre a eficácia das medidas de segurança existentes. Embora a empresa tenha feito uma divulgação rápida e corrigido as vulnerabilidades, a necessidade de atualizações regulares e vigilância contínua são evidentes.
Os clientes são aconselhados a implementar as atualizações disponibilizadas o mais o mais breve possível, enquanto a empresa continua fornecendo suporte e orientação sobre como proteger os produtos afetados.
É importante ressaltar que não existem medidas de contorno disponíveis para correção das vulnerabilidades. Clientes com contratos de suporte e atualização ativos, podem obter os patches de correção através dos canais de atualização habituais.
A Cisco também disponibilizou estes patches para os usuários que não possuem contrato de suporte e atualização ativos, devido a importância e criticidade das vulnerabilidades.
ArcaneDoor e a necessidade do reforço na segurança cibernética
O caso ArcaneDoor destaca a necessidade urgente de colaboração internacional e cooperação entre entidades públicas e privadas na luta contra o crime cibernético. A resposta conjunta do Centro Nacional de Segurança Cibernética do Reino Unido, Centro Canadense de Segurança Cibernética e Centro Australiano de Segurança Cibernética demonstram a importância da cooperação global para mitigar ameaças cibernéticas complexas.
A exploração bem-sucedida de vulnerabilidades zero day em infraestruturas críticas destacou a importância de uma postura proativa e abrangente em relação à segurança cibernética. À medida que os cibercriminosos continuam a evoluir suas táticas, a resiliência e a prontidão para responder às ameaças emergentes são essenciais para proteger as redes governamentais e a segurança nacional.
É importante complementar que toda esta evolução do cibercrime, que em princípio está sendo financiada por nações, e possuem motivações políticas, acabam refletindo em toda a indústria que também utiliza estes ativos de rede, cujas vulnerabilidades foram exploradas. Ambas as soluções da Cisco atingidas, são amplamente utilizadas por empresas em todas as partes do mundo, o que potencializa o problema.
Outro ponto relevante, é que a objetivo desta campanha não está restrito a Cisco, mas a qualquer fabricante que esteja presente na estrutura alvo da campanha, por isso o cuidado e a vigilância devem ser constantes e aprimorados.
This post is also available in: Português