Das Canadian Center for Cyber Security veröffentlichte am 24. April ein Cyber Security Advisory zu aktuellen Schwachstellen in CISCO ASA VPNs. Bei den Schwachstellen handelt es sich um CVE-2024-20359 sowie CVE-2024-20353. Zudem wurde durch CISCO selbst eine weitere Schwachstelle, CVE-2024-20358, veröffentlicht. Betroffen sind hauptsächlich CISCO ASA Geräte der Serie ASA55xx mit den Firmware-Versionen ASA 9.12 and 9.14.
Bereits seit Beginn des Jahres 2024 wurden durch wahrscheinlich staatliche Akteure gezielt weltweit VPNs von Regierungsorganisationen und Kritischer Infrastruktur zu Spionagezwecken angegriffen. Derzeit gibt es noch keine Hinweise, dass die Angriffe auch zur Vorbereitung von Sabotageaktivitäten dienen.
Bei den Angriffen wurden zwei Malware-Komponenten eingesetzt. Hierbei handelt es sich im LINE RUNNER, eine persistente Webshell, die es den Angreifern ermöglicht maliziöse Lua Skripte hochzuladen und auszuführen. Die zweite Komponente mit dem Namen LINE DANCER wird nur im Arbeitsspeicher ausgeführt und ermöglicht das Ausführen von maliziösen Shellcode Skripten. Beide Malware-Komponenten verfügen über zahlreiche Techniken zur Defence Evasion und hinterlassen nur wenige forensische Artefakte. Auffällig sind hauptsächlich spezielle HTTP POST- und GET-Requests.
Die Cyberabwehr rät Unternehmen und Institutionen, bei denen die genannten Produkte eingesetzt werden, dringend zur
Überprüfung Ihrer Systeme. Das Cyber Secutiy Advisory gibt hierzu nähere Details zu den auffälligen Requests sowie
bereits bekannten IoCs.