Utnyttelse av sårbarhetene krever påskrudd SSL VPN, IPsec IKEv2 VPN med "client services", eller eksponering av HTTPS-administrasjonsgrensesnitt1.

Dette varselet er primært tiltenkt samfunnsviktige virksomheter. Andre virksomheter bør oppdatere sine Cisco-produkter etter normale rutiner.

Inngangsvektor i kampanjen er ukjent. Det betyr at det kan finnes én eller flere nulldagssårbarheter som lar en ekstern angriper under visse forutsetninger forbigå autentisering, få fotfeste på enheten og oppnå administratorrettigheter.

Sårbarhetene som omtales av Cisco krever enten autentisering for å utnyttes eller tillater i verste fall tjenestenekt. Cisco har publisert sikkerhetsoppdateringer som adresserer disse sårbarhetene2.

Virksomheter som bruker Cisco ASA VPN bør iverksette Cisco sine anbefalinger for patching og avkreftelse av kompromittering1,2. NCSC ønsker tilbakemelding ved konkrete funn på Cisco-enheter og/eller observert trafikk mellom aktørkontrollert infrastruktur og Cisco-enheter.

På bakgrunn av én eller flere ukjente nulldagssårbarheter i Cisco ASA VPN bør samfunnsviktige virksomheter i tillegg implementere følgende tiltak:

  • Installer sikkerhetsoppdateringer2
  • Gjennomfør Cisco sine råd for å avkrefte kompromittering1,2
  • Sørg for at Cisco ASA VPN-løsninger logger til et sentralisert loggmottak
  • Logging på Cisco ASA VPN-løsninger bør være så verbose som mulig frem til    inngangsvektor er identifisert
  • Geoblokker tilgang til kun land man må ha tilkoblinger fra
  • Tillat kun innkommende trafikk fra nødvendige land (geofencing)
  • Blokker tilgang fra usikker infrastruktur som anonymiseringstjenester (VPN-leverandører og Tor exit-noder) og VPS-tilbydere

På lengre sikt anbefaler NCSC, på bakgrunn av regelmessige kritiske sårbarheter i VPN-produkter, at virksomheter migrerer vekk fra produktkategorien SSLVPN/klientløs VPN over til IPsec med IKEv2. Dette er en anbefaling som står seg uavhengig av VPN-leverandør; Cisco selv bygger på NSAs anbefalinger om dette3, hvor det er mulig å erstatte SSLVPN med IPsec IKEv2 så fremt man også skrur av "client services"4.

 

NCSC anbefaler virksomheter med behov for bistand å ta kontakt med sin sektorCERT eller MSSP. Dersom virksomheten ikke har en fast avtale med MSSP henviser vi til NSMs kvalitetsordning for hendelseshåndtering5.

Referanser:

1https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/

2https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

3https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF

4https://community.cisco.com/t5/security-knowledge-base/configuring-ipsec-ikev2-remote-access-vpn-with-cisco-secure/ta-p/4485165

5https://nsm.no/kvalitetsordning