Centro norueguês recomenda substituição do SSL VPN/WebVPN

As recomendações do NCSC surgem depois que a organização alertou recentemente sobre um operador de ameaça avançado que explora múltiplas vulnerabilidades de dia zero em VPNs Cisco ASA usadas em infraestruturas críticas desde novembro de 2023. A Cisco divulgou a campanha específica como ArcaneDoor, atribuindo-a ao grupo de ameaças rastreado como UAT4356 ou STORM-1849, que obteve acesso a sessões WebVPN associadas aos serviços SSL VPN do dispositivo.

Os ataques envolveram a exploração de dois dias zero, nomeadamente CVE-2024-20353 e CVE-2024-20359, que permitiram aos hackers contornar a autenticação, assumir o controlo de dispositivos e elevar privilégios para direitos administrativos.Embora a Cisco tenha corrigido as duas vulnerabilidades em 24 de abril, a empresa de segurança cibernética e equipamentos de rede não conseguiu identificar como os atores da ameaça inicialmente obtiveram acesso ao dispositivo.

Créditos: CISO Advisor