ArcaneDoor – Chiến dịch tấn công thiết bị mạng Cisco

Đầu tháng 5/2024, Trung tâm giám sát an toàn không gian mạng – Cục An toàn thông tin (NCSC), trực thuộc Bộ Thông tin và truyền thông đã đưa ra cảnh báo về ArcaneDoor – một chiến dịch tấn công mới nhằm vào các thiết bị mạng Cisco.

Chiến dịch tấn công mới nhằm vào thiết bị mạng Cisco

Dựa trên những theo dõi của NCSC, đầu năm 2024 đã ghi nhận chiến dịch tấn công mạng ArcaneDoor ảnh hưởng đến các thiết bị mạng Cisco. Cụ thể, các hacker có thể thực hiện điều hướng, điều chỉnh lưu lượng mạng, theo dõi các thông tin, liên lạc trong mạng lưới hoặc thực hiện các hành động trái phép khác trên các thiết bị mạng Cisco đã bị tấn công.

Đặc biệt, thời gian vừa qua, nhiều doanh nghiệp trong lĩnh vực viễn thông và tổ chức năng lượng đã bị ảnh hưởng bởi chiến dịch ArcaneDoor với các nhóm tấn công thường triển khai là mã độc, thực thi mã từ xa trên thiết bị bị mạng Cisco.

Đồng thời, một cuộc điều tra phân tích đã phát hiện được một nhóm tấn công mới hiện đang được theo dõi dưới tên UAT4356 bởi Talos và STORM-1849 bởi Microsoft Threat Intelligence Center đã triển khai hai backdoor trong chiến dịch lần này, có tên “Line Runner” và “Line Dance”. Cả hai backdoor này đều được sử dụng để thực hiện các hành vi độc hại lên thiết bị bị ảnh hưởng, bao gồm: điều chỉnh cấu hình, do thám, theo dõi/trích xuất lưu lượng mạng và leo thang đặc quyền.

Cụ thể hai lỗ hổng bị khai thác trên các thiết bị gồm có:

Lỗ hổng CVE-2024-20353 (Điểm CVSS: 8.6 – Cao) cho phép thực hiện tấn công từ chối dịch vụ, tồn tại trên thiết bị mạng Cisco Adaptive Security Appliance (ASA) Software và Cisco Firepower Threat Defense (FTD) Software.

Lỗ hổng CVE-2024-20359 (Điểm CVSS: 6.0 -Trung bình) cho phép triển khai tấn công thực thi mã tùy ý với đặc quyền root, tồn tại trên thiết bị mạng Cisco Adaptive Security Appliance (ASA) Software và Cisco Firepower Threat Defense (FTD) Software .

Đồng thời, một số IoC cũng được NCSC liệt kê:

Khuyến nghị tăng cường an ninh trên các thiết bị mạng

Nhằm tăng cường an toàn thông tin và an ninh mạng, NCSC cũng đưa ra các khuyến nghị để các đơn vị, doanh nghiệp chủ động thực hiện:

• Không chỉ riêng các thiết bị mạng Cisco, bất kì thiết bị mạng nào cũng đều có nguy cơ bị tấn công. Do đó, người dùng cần thường xuyên kiểm tra, bảo trì hệ thống mạng định kỳ, thực hiện cập nhật các bản vá mới nhất.
• Định kỳ sao lưu dữ liệu quan trọng nhằm hạn chế tối đa các tổn thất và nhanh chóng khắc phục được tài liệu trong trường hợp xảy ra sự cố tấn công mạng không mong muốn hoặc các sự cố hư hại khác.
• Tăng cường giám sát và xây dựng sẵn các tình huống đối phó, phương án xử lý khi các thiết bị mạng có dấu hiệu bị tấn công.
• Chủ động, thường xuyên cập nhật các cảnh báo của cơ quan chức năng và các tổ chức công nghệ, an ninh mạng để nắm bắt kịp thời các xu hướng, nguy cơ tấn công mạng mới trên thế giới cũng như ở Việt Nam.
• Ưu tiên sử dụng các thiết bị mạng chất lượng cao được cung cấp chính hãng tại thị trường Việt Nam như thiết bị mạng Cisco, thiết bị mạng BDCom, thiết bị mạng Huviron…
• Liên hệ NCSC trong các trường hợp khẩn cấp và chủ động lựa chọn các đơn vị, nhà thầu tích hợp giải pháp công nghệ thông tin uy tín để thực hiện công tác kiểm tra, bảo trì, cập nhật phần mềm, bản vá… cho các thiết bị mạng đang sử dụng.

Với 14 năm kinh nghiệm trong lĩnh vực thi công và cung cấp thiết bị mạng cũng như các giải pháp điện – điện nhẹ, hạ tầng an ninh và công nghệ thông tin, PHUCBINH GROUP là nhà thầu điện nhẹ tích hợp giải pháp uy tín. Chúng tôi tự hào thực hiện thiết kế, cung cấp chính hãng, thi công và bảo trì cho nhiều dự án xây dựng – nâng cấp hạ tầng mạng trên toàn quốc, từ tòa nhà phức hợp, khách sạn, khu nghỉ dưỡng, trung tâm thương mại… cho đến các dự án khu công nghiệp quy mô lớn, nhà máy, xưởng sản xuất.