Konkret wird Arcane Door in zwei Phasen eingesetzt. Die erste Phase besteht aus der Ausnutzung von zwei Zero-Day-Schwachstellen (Fehler, für die keine bekannten Korrekturen vorliegen): CVE-2024-20353 und CVE-2024-20359 in Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense-Geräten (FTD). ),
CVE-2024-20353 ist eine Sicherheitslücke mit hohem Schweregrad, die mit CVSS 8.6 bewertet wurde. Es befindet sich im Management-Web und auf den VPN-Servern für Cisco ASA- und FTD-Geräte und ermöglicht die Ausführung bestimmter Remote-Befehle auf geschützten Geräten, beispielsweise ein Zurücksetzen, das einen Denial-of-Service verursacht.
Durch Ausnutzung der weniger schwerwiegenden, aber ebenso schädlichen Schwachstelle CVE-2024-20359, die einen CVSS-Score von 6,0 erhält, kann der Hacker beliebigen Code mit Root-Rechten ausführen, sofern er über Administratorzugriff verfügt.
Sobald diese beiden Schwachstellen ausgenutzt wurden, ist der Weg frei, zwei Malware einzuschleusen, die jeweils eine bestimmte Rolle in der Kampagne spielen werden. Der erste, Line Dancer, ist ein Speicherimplantat, das Shellcode-Payloads ausführt, Syslog deaktiviert, Befehle ausführt, Geräteneustarts verursacht und der Analyse entgeht. Es kann auch die AAA-Funktion austricksen, um eine Verbindung über einen VPN-Tunnel mit Magic-Number-Authentifizierung zu ermöglichen. Die zweite, Line Runner, ist eine persistente Web-Shell. Es kann Lua-Skripte herunterladen und ausführen, die wie spezielle Anweisungen sind.
