Будьте всегда в курсе!
Узнавайте о скидках и акциях первым
Новости
Все новости
16 апреля 2026
Новые коммутаторы Odysyn
11 августа 2025
Вебинар: Горькая правда или сладкая ложь производителей
22 апреля 2025
Майская акция!
0-day уязвимости в продуктах Cisco используются для проникновения в сети госучреждений
25 апреля 2024
Компания Cisco предупреждает пользователей о том что с ноября 2023 года группа хакеров использует две уязвимости нулевого дня в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) для взлома государственных сетей по всему миру.
Специалисты Cisco Talos отслеживают группировку с идентификатором UAT4356, Microsoft классифицирует как STORM-1849. Шпионская кампания с ноября 2023 года отслеживается под названием ArcaneDoor.
Cisco известно об ArcaneDoor в начале января 2024 года, найдены доказательства тестирования и разработки злоумышленниками эксплоитами использования уязвимостей с июля 2023 года. Cisco не определен начальный вектор атаки, компанией обнаружены и исправлены две упомянутые уязвимости: CVE-2024-20353 (отказ в обслуживании) и CVE-2024-20359 (устойчивое локальное выполнение кода). Злоумышленниками использовались в качестве 0-day.
Используя уязвимости атакующие внедрять ранее неизвестные вредоносные программы в системы жертв и закрепляться на взломанных устройствах ASA и FTD.
Line Dancer, загрузчик шелл-кода в память, доставляющий и выполняющий произвольные полезные нагрузки для отключения протоколирования, предоставления удаленного доступа и передачи перехваченных пакетов.
Line Runner, оснащен многочисленными механизмами защиты от обнаружения и позволяющий злоумышленникам выполнять произвольный Lua-код на взломанных системах.
«Злоумышленники использовали специализированный инструментарий, который свидетельствует о явной нацеленности на шпионаж и глубоком знании атакованных устройств, что является отличительными признаками опытных спонсируемых государством субъектов, — пишут в Cisco. — В рамках этой кампании UAT4356 развернули два бэкдора, Line Runner и Line Dancer, которые в совокупности использовались для осуществления вредоносных действий, включая изменение конфигурации, разведку, перехват/эксфильтрацию сетевого трафика и, вероятно, боковое перемещение».
Так же предупреждение выпущено Национальным центром кибербезопасности Великобритании (NCSC), Канадским центром кибербезопасности (Cyber Centre) и Австралийским центром кибербезопасности (ACSC). Представители властей сообщили, что злоумышленниками полученный доступ использовался для:
генерации текстовых версий конфигурационных файлов устройств, для хищения через веб-запросы;
контроля над включением и отключением службы syslog для маскировки дополнительных команд;
изменения настроек аутентификации, авторизации и аудита (AAA) подконтрольные устройства соответствующие определенному идентификатору, получали доступ к атакованной среде.
Компанией выпущены обновления для устранения обеих уязвимостей. Всем клиентам рекомендуется обновить устройства, для предотвращения атак.
Администраторам Cisco также рекомендуется отслеживать системные журналы на предмет любых незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности с учетными данными.
Специалисты Cisco Talos отслеживают группировку с идентификатором UAT4356, Microsoft классифицирует как STORM-1849. Шпионская кампания с ноября 2023 года отслеживается под названием ArcaneDoor.
Cisco известно об ArcaneDoor в начале января 2024 года, найдены доказательства тестирования и разработки злоумышленниками эксплоитами использования уязвимостей с июля 2023 года. Cisco не определен начальный вектор атаки, компанией обнаружены и исправлены две упомянутые уязвимости: CVE-2024-20353 (отказ в обслуживании) и CVE-2024-20359 (устойчивое локальное выполнение кода). Злоумышленниками использовались в качестве 0-day.
Используя уязвимости атакующие внедрять ранее неизвестные вредоносные программы в системы жертв и закрепляться на взломанных устройствах ASA и FTD.
Line Dancer, загрузчик шелл-кода в память, доставляющий и выполняющий произвольные полезные нагрузки для отключения протоколирования, предоставления удаленного доступа и передачи перехваченных пакетов.
Line Runner, оснащен многочисленными механизмами защиты от обнаружения и позволяющий злоумышленникам выполнять произвольный Lua-код на взломанных системах.
«Злоумышленники использовали специализированный инструментарий, который свидетельствует о явной нацеленности на шпионаж и глубоком знании атакованных устройств, что является отличительными признаками опытных спонсируемых государством субъектов, — пишут в Cisco. — В рамках этой кампании UAT4356 развернули два бэкдора, Line Runner и Line Dancer, которые в совокупности использовались для осуществления вредоносных действий, включая изменение конфигурации, разведку, перехват/эксфильтрацию сетевого трафика и, вероятно, боковое перемещение».
Так же предупреждение выпущено Национальным центром кибербезопасности Великобритании (NCSC), Канадским центром кибербезопасности (Cyber Centre) и Австралийским центром кибербезопасности (ACSC). Представители властей сообщили, что злоумышленниками полученный доступ использовался для:
генерации текстовых версий конфигурационных файлов устройств, для хищения через веб-запросы;
контроля над включением и отключением службы syslog для маскировки дополнительных команд;
изменения настроек аутентификации, авторизации и аудита (AAA) подконтрольные устройства соответствующие определенному идентификатору, получали доступ к атакованной среде.
Компанией выпущены обновления для устранения обеих уязвимостей. Всем клиентам рекомендуется обновить устройства, для предотвращения атак.
Администраторам Cisco также рекомендуется отслеживать системные журналы на предмет любых незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности с учетными данными.
