# CVE-2024-20353 > [!high] DoS no Cisco ASA/FTD - Parte da Operação ArcaneDoor > Negação de serviço na interface de gerenciamento web do Cisco ASA/FTD pode derrubar o firewall e interromper conectividade de rede. Explorada como parte da [[arcanedoor|Operação ArcaneDoor]], campanha de espionagem de APT de nação-estado contra dispositivos de borda Cisco em todo o mundo. ## Visão Geral [[cve-2024-20353|CVE-2024-20353]] é uma vulnerabilidade de negação de serviço (DoS) na interface de gerenciamento web dos firewalls Cisco ASA (Adaptive Security Appliance) e FTD (Firepower Threat Defense). A falha permite que um atacante remoto não autenticado envie requisições HTTP especialmente crafted que causam o reload do dispositivo, interrompendo toda a conectividade de rede que passa pelo firewall. Esta CVE foi descoberta como parte da investigação da [[arcanedoor|Operação ArcaneDoor]], uma campanha sofisticada de espionagem atribuída a um APT de nação-estado que explorou múltiplas vulnerabilidades zero-day em dispositivos Cisco ASA. O grupo implantou dois implantes customizados ("Line Runner" e "Line Dancer") nos dispositivos comprometidos para estabelecer acesso persistente e exfiltrar informações de configuração e tráfego de rede. O Cisco ASA é o firewall de borda mais utilizado no mundo, presente em redes corporativas, governamentais e de infraestrutura crítica brasileiras. A combinação de exploração DoS (para forçar reload e janelas de manutenção) com implantes persistentes representa uma ameaça sofisticada e difícil de detectar. > [!latam] Relevância LATAM > Organizações brasileiras com Cisco ASA/FTD como firewall de borda devem aplicar os patches da Operação ArcaneDoor (abril 2024) e executar o Cisco Adaptive Security Device Manager (ASDM) para verificar integridade. Provedores de internet e operadoras com ASA em pontos de troca de tráfego (PTTs) são alvos de alto valor. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | DoS via processamento de requisições HTTP (CWE-400) | | Componente | Cisco ASA/FTD Web Management Interface | | Pré-requisito | Nenhum - não autenticado | | Impacto | Reload forçado do firewall, interrupção de rede | | Campanha | ArcaneDoor - espionagem APT de nação-estado | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração da interface web do Cisco ASA - [[t1499-endpoint-denial-of-service|T1499]] - DoS forçando reload do firewall - [[t1542-003-bootkit|T1542.003]] - Implante "Line Runner" sobrevivendo a reboots - [[t1040-network-sniffing|T1040]] - Captura de tráfego via implante no firewall ## Detecção e Defesa **Mitigação primária:** Aplicar patches Cisco para ASA e FTD divulgados em abril 2024. **Caça de ameaças (ArcaneDoor):** - Verificar presença dos implantes Line Runner/Line Dancer no ASA - Executar `show version` e comparar hash com versões legítimas - Analisar arquivos de configuração para modificações não autorizadas **Mitigações estruturais:** - [[m1030-network-segmentation|M1030]] - Interface de gerenciamento ASA apenas por out-of-band network - [[m1051-update-software|M1051]] - Atualização urgente ASA/FTD - [[m1031-network-intrusion-prevention|M1031]] - Monitorar tráfego anômalo para/do ASA ## Referências - [Cisco Security Advisory cisco-sa-asaftd-websrvs-dos](https://sec.cloudapps.cisco.com/security/center) - [Cisco Talos - ArcaneDoor campaign analysis](https://blog.talosintelligence.com) - [CISA Alert - ArcaneDoor](https://www.cisa.gov/news-events/cybersecurity-advisories)