Um grupo de hackers chamado ArcaneDoor tem explorado duas vulnerabilidades zero-day nos dispositivos Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) para invadir redes governamentais em todo o mundo.

A Cisco detectou essa atividade em novembro de 2023 e encontrou evidências de que os hackers vinham desenvolvendo e testando explorações para as duas falhas desde julho de 2023. Essas vulnerabilidades, identificadas como CVE-2024-20353 e CVE-2024-20359, permitiam que os atacantes instalassem malwares para manter acesso persistente em dispositivos ASA e FTD comprometidos.

Uma dessas ferramentas maliciosas, chamada Line Dancer, carrega shellcodes na memória para executar payloads arbitrários e desativar registros, enquanto o Line Runner, um backdoor persistente, permite que os atacantes executem código Lua nos dispositivos hackeados.

A Cisco recomendou que todos os clientes atualizem seus dispositivos para versões corrigidas e monitorem logs do sistema para sinais de atividades suspeitas, como reinicializações não agendadas ou mudanças não autorizadas nas configurações. Além disso, a Cisco sugeriu que os administradores implementem multi-fator de autenticação (MFA) e registrem logs em um local central e seguro.

Este incidente ressalta a importância de manter sistemas atualizados e fortalecer a segurança para prevenir ataques que exploram vulnerabilidades zero day. As autoridades também alertam para um aumento nos ataques de força bruta contra serviços VPN e SSH em dispositivos Cisco e outros fabricantes.