Peretas yang didukung negara mengeksploitasi Dua Kerentanan Zero-Day Cisco untuk Spionase

Peretas yang didukung negara mengeksploitasi Dua Kerentanan Zero-Day Cisco untuk Spionase

Posted by : Admin , Apr 25, 2024
Sebuah kampanye malware baru memanfaatkan dua kelemahan zero-day dalam perangkat jaringan Cisco untuk menyebarkan malware khusus dan memfasilitasi pengumpulan data secara rahasia di lingkungan target.

Cisco Talos, yang menamai aktivitas tersebut sebagai ArcaneDoor, mengaitkannya sebagai karya seorang pelaku yang belum pernah didokumentasikan sebelumnya yang didukung oleh negara dan canggih yang mereka lacak dengan nama UAT4356 (alias Storm-1849 oleh Microsoft).

"UAT4356 menyebarkan dua pintu belakang sebagai komponen dari kampanye ini, 'Line Runner' dan 'Line Dancer,' yang digunakan secara kolektif untuk melakukan tindakan berbahaya pada target, yang mencakup modifikasi konfigurasi, rekognisi, penangkapan/eksfiltrasi lalu lintas jaringan, dan potensial pergerakan lateral," kata Talos.

Intrusi-intrusi, yang pertama kali terdeteksi dan dikonfirmasi pada awal Januari 2024, melibatkan eksploitasi dua kerentanan:

CVE-2024-20353 (skor CVSS: 8.6) - Kerentanan Denial-of-Service Layanan Web Cisco Adaptive Security Appliance dan Firepower Threat Defense Software
CVE-2024-20359 (skor CVSS: 6.0) - Kerentanan Eksekusi Kode Lokal Persisten pada Perangkat Lunak Cisco Adaptive Security Appliance dan Firepower Threat Defense
Perlu dicatat bahwa eksploitasi zero-day adalah teknik atau serangan yang digunakan oleh pelaku jahat untuk memanfaatkan kerentanan keamanan yang tidak diketahui untuk mendapatkan akses ke dalam sistem.

Sementara kerentanan kedua memungkinkan penyerang lokal untuk menjalankan kode sewenang-wenang dengan hak istimewa tingkat root, hak istimewa administrator diperlukan untuk mengeksploitasi. Bersamaan dengan CVE-2024-20353 dan CVE-2024-20359 adalah kerentanan injeksi perintah dalam perangkat yang sama (CVE-2024-20358, skor CVSS: 6.0) yang ditemukan selama pengujian keamanan internal.

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan kekurangan tersebut ke katalog Kerentanan yang Diketahui Dieksploitasi (KEV)-nya, yang mewajibkan badan pemerintah federal untuk menerapkan perbaikan yang disediakan oleh vendor pada 1 Mei 2024.

Sumber : https://thehackernews.com/2024/04/state-sponsored-hackers-exploit-two.html