Cisco-firewalls werden maandenlang misbruikt voor spionage

Cisco en het Nederlandse NCSC waarschuwen voor kritieke kwetsbaarheden in firewallsystemen van Cisco. Via de kwetsbaarheden wisten onbekende cybercriminelen malware in te zetten voor spionagedoeleinden. Cisco heeft updates uitgebracht om de problemen op te lossen.

De kwetsbaarheden zitten in Cisco Adaptive Security Apppliance, of ASA, en in Cisco Firepower Threat Defense, of FTD, aldus het Cisco Talos-beveiligingsteam in een blog. Via twee kwetsbaarheden, gevolgd onder CVE-2024-20353 en CVE-2024-20359, kunnen cybercriminelen denial-of-serviceaanvallen uitvoeren en op afstand willekeurige code met rootrechten laten uitvoeren. Voor de remote-code-executionfout zijn wel adminrechten nodig.

De kwetsbaarheden werden ontdekt nadat een klant van Cisco begin 2024 contact opnam met het bedrijf vanwege zorgen rondom de beveiliging van Cisco ASA. Er werd een onderzoek gestart, waarbij een geavanceerde aanvalsketen werd ontdekt, die Talos 'ArcaneDoor' heeft genoemd. Deze aanvalsketen werd ingezet door een tot nu toe onbekende partij, die de naam 'UAT4356' heeft gekregen. Hoewel niet ontdekt is hoe de aanvallers toegang krijgen tot de firewalls, is wel duidelijk dat de kwetsbaarheden misbruikt worden om twee backdoors te installeren, die Cisco 'Line Runner' en 'Line Dancer' noemt. De aanvallers wijzigen via daar de configuratie van de firewall, verzamelen netwerkverkeer en kunnen zich lateraal door het netwerk bewegen.

Volgens Talos zijn vooral overheidsorganisaties doelwit. Ook zegt het beveiligingsteam dat de aanvallers tools gebruiken die wijzen op cyberspionage en diepgaande kennis van de apparaten die ze aanvallen. Dat zijn volgens Talos 'kenmerken van een geavanceerde door de staat gesponsorde' partij. Door welk land de aanvallers gesponsord worden, zegt Talos niet.

De aanvallers zijn al maanden bezig met ArcaneDoor. In juli begonnen ze volgens Talos met het testen van de aanval, in november werden de eerste echte aanvallen gezien. De Australische overheid zegt in ieder geval slachtoffer te zijn geworden. Daar zijn verschillende firewalls gecompromitteerd. In Nederland heeft het NCSC een waarschuwing uitgebracht voor de kwetsbaarheden, die als zeer kritiek worden beschouwd.

Cisco heeft patches uitgebracht waarmee de kwetsbaarheden verholpen worden. Daarnaast geeft Cisco op zijn website en in de blog van Talos een stappenplan om te controleren of ASA- of FTD-apparaten aangevallen zijn. Voor gecompromitteerde systemen heeft Cisco maatregelen gegeven om deze te herstellen.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 25-04-2024 13:56
40 • submitter: ltcom

25-04-2024 • 13:56

40

Submitter: ltcom

Lees meer

Tarlogic trekt beschuldiging van backdoor in ESP32-chip in
Tarlogic trekt beschuldiging van backdoor in ESP32-chip in Nieuws van 11 maart 2025
Cisco sluit Technical Assistance Center in België en ontslaat 124 werknemers
Cisco sluit Technical Assistance Center in België en ontslaat 124 werknemers Nieuws van 8 november 2024
Cisco onderzoekt vermeend datalek nadat gestolen data verschijnt op hackerforum
Cisco onderzoekt vermeend datalek nadat gestolen data verschijnt op hackerforum Nieuws van 15 oktober 2024
Cisco trekt stekker uit LoRaWAN-aanbod
Cisco trekt stekker uit LoRaWAN-aanbod Nieuws van 8 oktober 2024
NCSC deelde informatie met VS en VK zonder wettelijke grondslag
NCSC deelde informatie met VS en VK zonder wettelijke grondslag Nieuws van 30 september 2024
Cisco ontslaat 7 procent van het wereldwijde personeel
Cisco ontslaat 7 procent van het wereldwijde personeel Nieuws van 15 augustus 2024
Tweede Kamer stemt in met wetsvoorstel voor hogere straffen voor cyberspionage
Tweede Kamer stemt in met wetsvoorstel voor hogere straffen voor cyberspionage Nieuws van 15 mei 2024
FBI: laptop Belgische politicus gehackt door Chinezen
FBI: laptop Belgische politicus gehackt door Chinezen Nieuws van 25 april 2024
Overheid komt met Cybercheck waarmee bedrijven supplychainrisico's kunnen inzien
Overheid komt met Cybercheck waarmee bedrijven supplychainrisico's kunnen inzien Nieuws van 19 april 2024
Mandiant: Russische hackersgroep zat achter aanval op watervoorziening Texas
Mandiant: Russische hackersgroep zat achter aanval op watervoorziening Texas Nieuws van 18 april 2024
Google: 50 procent meer zerodays actief misbruikt in 2023 dan in 2022
Google: 50 procent meer zerodays actief misbruikt in 2023 dan in 2022 Nieuws van 28 maart 2024
Chinees bedrijf voerde grootschalige cyberaanvallen uit voor Chinese overheid
Chinees bedrijf voerde grootschalige cyberaanvallen uit voor Chinese overheid Nieuws van 24 februari 2024
Meer producten en artikelen
Beveiliging en antivirus Cisco Security

Reacties (40)

-Moderatie-faq
40
37
13
1
0
14
Wijzig sortering
arbraxas 25 april 2024 14:01
Hoewel niet ontdekt is hoe de aanvallers toegang krijgen tot de firewalls
Hoe kun je dan een patch uitbrengen? Want ik neem aan dat het niet om fysieke toegang gaat.
GoGoHaRrY @arbraxas25 april 2024 14:06
Dat is precies wat ik ook dacht oorzaak onbekend maar wel een fix ........... het hetstel van systemen wordt apart genoemd dus dat is het ook niet wat de patch doet oplossen.

Dit artikel is aardig in lijn met een ander artikel van vandaag nieuws: Mandiant: spionnen vallen steeds vaker 'edge'-tools zoals firewalls e...
nullbyte @GoGoHaRrY25 april 2024 18:16
De initial acces vector wordt zelden gevonden. Tenzij je weet op welk tijdstip dat gebeurd is is dat lastig vast te stellen. Wat makkelijker is vast te stellen, vooral als de aanvaller een fout maakt. Dat is het persistance mechanisme. Dan wordt de werking van de aanval duidelijk en is update mogelijk. In dit geval was het een in-memory implant wat een geavanceerde techniek is.

De technische details van ArcaneDoor zijn door Cisco Talos hier gepubliceerd.

[Reactie gewijzigd door nullbyte op 22 juli 2024 13:58]

Scriptkid @GoGoHaRrY25 april 2024 17:31
Idd oorzaak onbekend dus patch morgen weer omzeiled gezien men waarschijnlijk dus nogsteeds. Bij het device kan op manier 1.
ShadowBumble @arbraxas25 april 2024 14:04
De aanval bestaat uit meerdere fases, de initiele fase is nog onbekend echter is wel bekend dat ze het device (als je remote toegang hebt) opdrachtenkunnen geven door "memory patching" (LineDancer / Line Runner genaamd) te doen.

Bovendien zijn er nog wel meer onduidelijkheden omtrent deze kwestbaarheid maar die zullen de komende dagen vast meer bekend worden.
bantoo @arbraxas25 april 2024 14:05
Security bestaat uit lagen, ze weten niet hoe laag 1 gepasseerd is maar ze kunnen wel laag 2 fixen in dit geval.
Cergorach
25 april 2024 14:03
De vraag is niet OF het gebeurt, maar WANNEER het gebeurd. Hoe goed een bedrijf ligt aan hoe ze reageren op zo een aanval. Als ik dit artikel zo lees is dat niet slecht vanuit Cisco...
DDX 25 april 2024 14:08
De cisco link om te kijken of er een update is werkt niet heel lekker.
Ik heb een asa draaien met versie 9.20(2)2
Vul ik die in als 9.20.2.2 dan krijg ik : 'Invalid release(s):9.20.2.2. Try with valid release or contact your support organization for more information.'

En bij downloads is dat in principe nog de meet recente release...

edit: je moet zoeken op 9.20.2 versie en die meld dan dat patched versie de 9.20.2.10 is.
Interim release uitgekomen op 14 maart, ruim een maand geleden dus.

[Reactie gewijzigd door DDX op 22 juli 2024 13:58]

magnifor 25 april 2024 15:20
Jajaja, zogenaamd “kwetsbaarheden”. Sinds de onthullingen dat er bewust backdoors in zaten zou ik als bedrijf/organisatie Cisco vermijden waar mogelijk want zo een bedrijf kan je niet meer vertrouwen.
kodak
@magnifor25 april 2024 16:01
Aangezien het ontwikkelen van producten waar geen kwetsbaarheden in zitten nogal lastig is kun je niet zomaar stellen dat het dus maar een opzettelijke backdoor is. Maar je hebt wel een terecht punt dat een fabrikant dus ook niet zomaar te vertrouwen is. Want de kans op ernstige kwetsbaarheden is hoe dan ook niet zomaar laag of acceptabel.
magnifor @kodak25 april 2024 16:27
Maar je hebt hier dus plausibele deniability. Je kunt dit verkopen als een bug maar in werkelijkheid een bewuste keuze zijn, moeilijk te bewijzen en wanneer andere overheden de kwetsbaarheid ook hebben ontdekt dan breng je een fix uit. Goed, ik snap dat het richting aluhoedje gaat maar sinds de onthullingen heb ik 0 vertrouwen in Cisco.
kodak
@magnifor25 april 2024 17:01
Als je nauwelijks tot geen controle hebt over hoe veilig en betrouwbaar fabrikanten werken is het aannemelijker dat het een fout is. Want zelfs al zouden ze een backdoor inbouwen dan is de kans dat er daarnaast ernstige fouten zijn niet zomaar minder. Maar je kans op een backdoor is daarmee natuurlijk niet weg. Je hebt er immers niet hoe dan ook maar geen kans op, of een te verwaarlozen kans op als je nauwelijks tot geen controle over de werkwijze van ontwikkelaars en de fabrikant hebt.
satya @kodak25 april 2024 21:10
Die controle is er in elk geval door je dozen open te maken voordat ze in gebruik genomen worden. Actoren soms iets achter laten wat contact met thuis houd. Onze leverancier treft sporadisch iets aan wat er niet in hoort
berchtold @kodak26 april 2024 02:41
Was er niet eerder al een probleem met Chinese invloeden op software van cisco?
nullbyte @magnifor25 april 2024 18:26
Dit gebeurt om de havenklap bij alle fabrikanten van hard/software, jij kan niemand meer vertrouwen na bekijken van onderstaande link :P

https://advisories.ncsc.nl/advisories

[Reactie gewijzigd door nullbyte op 22 juli 2024 13:58]

olson @nullbyte25 april 2024 18:29
dit heeft niks met vertrouwen te maken.
batteries4ever @magnifor25 april 2024 15:36
Precies, simpelweg overstappen naar Huawei en dan zijn al je problemen voorbij... /S
magnifor @batteries4ever25 april 2024 15:43
In tegenstelling tot Cisco is er bij Huawei nog geen bewijs van backdoos gevonden. Dus ik zou Huawei eerder vertrouwen dan een Cisco.
[Yellow] @magnifor25 april 2024 17:16
Mwoa:
nieuws: Bloomberg: Vodafone vond 'verstopte backdoors' in Huawei-apparatuur -...
vj_slof 25 april 2024 14:05
Komt dit nou vaker voor bij Cisco omdat de Amerikaandse overheid er zelf misschien backdoors in eist en hackers deze backdoors nu ook ontdekken?
PolarBear @vj_slof25 april 2024 15:02
Of gewoon omdat ze marktleider zijn?
BlaTieBla @PolarBear25 april 2024 15:35
of omdat ook de aandeelhouder zijn geld wil zien en er met minder mensen (snijden in de kosten) meer gedaan moet worden. Dat verhoogt de kans op fouten in software.
closefuture @PolarBear25 april 2024 19:39
Cisco is de laatste tijd nogal vaak negatief in het nieuws. Zo kwamen ze vorig jaar ook meerdere (!) keren in het nieuws door dat ze door slordigheden hardcoded accounts in hun firmware hadden laten zitten.
dasiro @vj_slof25 april 2024 17:51
als het een backdoor voor de overheid is moeten ze erover zwijgen en is het geen "hack", dus waarschijnlijk gaat het een derde partij geweest zijn
badnews.nl @dasiro25 april 2024 18:41
Als het een backdoor is vanuit de overheid, zal zodra deze bekend is, het een hack worden genoemd..:)
nullbyte @vj_slof25 april 2024 18:38
Zoals het artikel aangeeft, Cisco Talos heeft deze aanval ontdekt op aangeven van een klant en zelf gepubliceerd na het maken van een patch. Er wordt aangegeven dat het vanwege de geraffineerdheid van de aanval waarschijnlijk een nation state actor betreft (kenmerken van een geavanceerde door de staat gesponsorde partij). Verder zijn er vooral overheidsinstanties het doelwit. Dit duidt op een aanvaller die niet westers is.

[Reactie gewijzigd door nullbyte op 22 juli 2024 13:58]

CyberTijn @vj_slof25 april 2024 22:26
Gisteren Fortinet. Vandaag Cisco. Morgen Palo Alto. Overmorgen wederom Fortinet of een andere NGFW producent. Firewalls van al deze fabrikanten worden continue onder bestookt met aanvallen om vulnerabilities te vinden om zo een netwerk binnen te dringen.
devilkin 25 april 2024 15:38
Software zonder bugs bestaat niet... en in deze wel extra zuur. Past perfect bij het nieuwsbericht nieuws: Mandiant: spionnen vallen steeds vaker 'edge'-tools zoals firewalls e...

Palo-Alto, Cisco, Juniper, Fortinet... enkel Checkpoint ontbreekt nog in het lijstje, denk ik.
ChrsL 25 april 2024 15:54
Dit is wel echt scary dat het best slim opgezet is om zich tegen forensics te weren.

Random ingeving, ik had altijd de gedachte dat het zowat niet mogelijk was om data af te luisteren, maar met zulk admin en config access zouden ze zelfs telkens voor een korte periode port monitoring of vpn's aanzetten om samples van data te forwarden. met full root access kunnen ze zelfs arbitraire applicaties maken dit te doen. Heb je ook nog iemand (een spion) die er vlakbij is en werkt kun je over tijd veel documenten overbrengen.

Over de initiële implementatie is er jammer nog niks over bekend, maar is er wel admin access nodig om de malware te implementeren. Weer die spion met access? of een andere vulnerability?

Over die spion gesproken, is dat wel nodig? Als zo'n firewall extern bereikbaar is zonder enige filtering zou iedereen exploits ertegen kunnen uitvoeren, maar of dat het geval is? Dat is volgens mij niet eens security best practice.

Enge gedachte is juist hoe zoiets vanuit intern exploit kan worden, wat volgens mij niet mogelijk is, tenzij die spion ... weer.

Excuses voor mijn brain farts, maar altijd interessant wat er allemaal gebeurt met al het laatste nieuws over data stealing en internationale politiek.
timeraider @ChrsL25 april 2024 16:46
Inderdaad altijd de vraag of de hacker een zeer slim persoon was die via een of andere nog niet ontdekte vulnerability remote access heeft kunnen krijgen... of die vent had zijn printer met admin/admin login open staan naar het internet waardoor ze intern gewoon overal bij konden om te proberen :D
Yordi- 25 april 2024 16:06
Ik denk dat je vooral de complimenten kunt geven aan de klant die het ontdekte. Iedere zichzelf serieus nemende security beheerder vertrouwt z’n eigen apparatuur niet.

Helaas zijn er daar niet veel van.

[Reactie gewijzigd door Yordi- op 22 juli 2024 13:58]

florkeman 25 april 2024 18:56
zo zie je, Amerika beschuldigd Hawaï van niet bewezen spionage systemen.
Hun eigen materiaal cisco is slecht beveiligd !!
hgoor 27 april 2024 12:59
En dan steeds klagen over backdoors in Huawei apparatuur 😂

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq