Cisco Firewall: Schwachstellen ausgenutzt

- Warnmeldung

Bei der Firewall Cisco ASA nutzten Angreifende Schwachstellen aus. Die Täter griffen bislang gezielt Behörden und Unternehmen der Kritischen Infrastruktur weltweit an. Eine Ausdehnung der Angriffe ist wahrscheinlich. Patches sind verfügbar.
Cisco Logo

© Araki Illustrations - stock.adobe.com

Vorbereitungen auf ArcaneDoor-Kampagne seit Juli 2023

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ausgenutzten Schwachstellen in der Cisco-Firewall ASA (Adaptive Security Appliance). Durch die Sicherheitslücke CVE-2024-20359 können Angreifende Code mit hoher Berechtigung ausführen; Kriminelle haben dadurch bereits persistente Webshells eingeschleust. Die Sicherheitslücke CVE-2024-20353 ermöglicht DoS-Angriffe.

Welche Versionen und Konfigurationen der Firewall betroffen sind, hängt von der Schwachstelle ab. Informationen dazu finden Sie in den verlinkten Cisco-Artikeln:

Schon im Januar 2024 gab es erste Hinweise über eine Ausnutzung. Weitere Recherchen ergaben, dass bereits im November 2023 bösartige Strukturen existierten und die Täter im Wesentlichen von Dezember 2023 bis Anfang Januar 2024 aktiv waren. Indizien zeigen, dass Entwicklung und Test der Vorgehensweise schon im Juli 2023 stattgefunden haben. Die Forschenden von Cisco Talos bezeichnen die Kampagne als ArcaneDoor.

Das britische National Cyber Security Centre (NCSC) veröffentlichte weitere Erkenntnisse. Demnach haben die Kriminellen den Shellcode-Loader Line Dancer und die persistente Webshell Line Runner genutzt. Diese umgehen Detektionsmechanismen und gewährleisten, dass nur die Angreifenden Befehle auf kompromittierten Geräten ausführen können. Weitere Details erfahren Sie in den unten verlinkten NSCS-Beiträgen.

Die technische Komplexität des Angriffs deutet auf gut versierte und ausgestattete Angreifer hin, die mutmaßlich staatlich oder staatsnah organisiert sein könnten.

Eckdaten zu den Schwachstellen

  • CVE-2024-20353, CVSS-Base-Score: 8.6
  • CVE-2024-20358, CVSS-Base-Score: 6.0
  • CVE-2024-20359, CVSS-Base-Score: 6.0

Bewertung des BSI

Firewalls und VPN-Gateways spielen für die Sicherheit von Netzwerken eine zentrale Rolle. Schwachstellen in diesen Programmen sind somit per se eine massive Gefährdung für die Netzwerkbetreiber. Bei einem erfolgreichen Cyberangriff könnten Kriminelle sich weiter in internen Netzwerken ausbreiten und den Datenverkehr manipulieren.

Die bekannt gewordene verwundbare Cisco ASA Firewall ist ein attraktives Ziel für Cyberangriffe. Zwar sind bisher nur gezielte Angriffe bekannt. Nach dem öffentlichen Bekanntwerden der Sicherheitslücken ist jedoch davon auszugehen, dass mögliche Täter ihre Angriffsversuche in kurzer Zeit auf breiter Front ausdehnen.

Empfehlungen des BSI

Zwei der drei Schwachstellen sind nur mit mittlerer Kritikalität eingestuft. Das BSI weist ausdrücklich darauf hin, die Schwachstellen trotzdem ausreichend ernst zu nehmen.

Beachten Sie folgende Hinweise des BSI:

  • Installieren Sie schnellstmöglich die verfügbaren Patches.
  • Prüfen Sie die Systeme auf eine mögliche Kompromittierung. Vorgehensweisen hierzu finden Sie unter den unten aufgeführten Links.