Concrètement, Arcane Door se déploie en deux temps. La première phase consiste à exploiter deux vulnérabilités de type Zero Day (failles qui n’ont reçu aucun correctif connu): CVE-2024-20353 et CVE-2024-20359, dans les appareils Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD),
CVE-2024-20353 est une vulnérabilité de haute gravité notée selon l’échelle CVSS 8,6. Elle se situe dans les serveurs Web de gestion et VPN pour les appareils Cisco ASA et FTD, et permet d’effectuer certaines commandes à distance des appareils protégés comme un reset provoquant un déni de service.
En exploitant la faille CVE-2024-20359, moins sévère, mais tout aussi dommageable, qui obtient le score CVSS de 6,0 le hacker peut exécuter du code arbitraire avec des privilèges de niveau racine à condition qu’il ait un accès administrateur.
Une fois ces deux failles exploitées, le chemin est tout tracé pour injecter deux malwares qui auront chacun un rôle précis à jouer dans la campagne. Le premier, Line Dancer, est un implant mémoire qui exécute des charges utiles de shellcode, désactive syslog, exécute des commandes, provoque des redémarrages d’appareils, échappant à l’analyse. Il peut aussi tromper la fonction AAA pour permettre une connexion via un tunnel VPN avec une authentification par numéro magique. Le second, Line Runner, est un web shell persistant. Il peut télécharger et exécuter des scripts Lua, qui sont comme des instructions spéciales.
Auteur :
Aller à la source