cve-2024-20359 - RunkIntel

# CVE-2024-20359 > [!high] Persistência em Cisco ASA/FTD - componente da campanha ArcaneDoor > Permite que um atacante com acesso privilegiado execute código persistente após reinicializações em dispositivos Cisco ASA e FTD. Utilizada pela campanha **ArcaneDoor** (atribuída a ator estado-nação) em conjunto com **CVE-2024-20353** para comprometer dispositivos de borda de rede. ## Visão Geral A [[cve-2024-20359|CVE-2024-20359]] é uma vulnerabilidade de persistência em dispositivos Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), descoberta durante investigações da campanha [[arcanedoor|ArcaneDoor]] em abril de 2024. Diferente de CVEs de acesso inicial, esta falha é explorada em estágio posterior para garantir que o implante survive a reinicializações do dispositivo. A campanha ArcaneDoor é atribuída a um ator estado-nação (designado UAT4356 pela Cisco Talos e STORM-1849 pela Microsoft), com foco em dispositivos de perímetro de rede de governos e infraestrutura crítica ao redor do mundo. O impacto estratégico é significativo: firewalls e VPNs comprometidos são pontos cegos para os defensores, pois geralmente ficam fora do escopo de monitoração EDR convencional. Para o Brasil e LATAM, onde Cisco ASA é amplamente adotado em redes corporativas, governamentais e de telecomúnicações, esta CVE representa um risco de espionagem persistente difícil de detectar com ferramentas convencionais. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 6.0 (Medium/High) | | **Produto** | Cisco ASA, Cisco FTD | | **Tipo** | Persistência pós-exploit (implante persistente) | | **Campanha** | ArcaneDoor (UAT4356 / STORM-1849) | | **Patch** | Abril 2024 | ## Contexto ArcaneDoor Esta CVE é parte de uma cadeia de duas vulnerabilidades exploradas juntas: - **CVE-2024-20353** - DoS/RCE para acesso inicial ao dispositivo - **CVE-2024-20359** - Persistência do implante (esta nota) O malware implantado ([[line-dancer|Line Dancer]] e [[line-runner|Line Runner]]) utiliza esta falha para sobreviver a reinicializações, mantendo acesso persistente ao dispositivo comprometido. **TTPs relacionados:** [[t1542-003-bootkit|T1542.003]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1133-external-remote-services|T1133]] · [[t1056-input-capture|T1056]] ## Detecção e Defesa **Mitigação imediata:** - Aplicar patches de segurança Cisco ASA/FTD de abril 2024 - Verificar integridade de configurações de boot nos dispositivos - Auditar conexões de gerenciamento para anomalias **Indicadores de comprometimento:** - Presença de `client.cgi` ou `xmlrpc.cgi` em configurações VPN - Conexões HTTP(S) de saída anômalas do firewall - Modificações no arquivo `cs.webvpn` **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1043-credential-access-protection|M1043]] · [[m1031-network-intrusion-prevention|M1031]] > [!latam] Relevância LATAM > Dispositivos Cisco ASA são infraestrutura crítica em redes governamentais brasileiras, telecomúnicações e setor financeiro. Atores estado-nação com capacidade ArcaneDoor têm interesse documentado em espionagem de infraestrutura regional, tornando patching e monitoração destes dispositivos prioritários. ## Referências - [Cisco Talos - ArcaneDoor](https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/) - [Cisco Security Advisory](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLW3bGh9)