ArcaneDoor infrastruktúrájának elemzése
A Cisco Talos három nulladik napi sérülékenységet azonosított két Cisco tűzfal termékben az ArcaneDoor kampányának vizsgálatának részeként, amely világszerte kormányzati tulajdonú eszközöket célzott meg, és amelynek kihasználása 2024 januárjáig nyúlik vissza. Az azonosított nulladik napi sebezhetőségeket CVE-2024-20353, CVE-2024-20359 és CVE-2024-20358 néven követik nyomon – ezek közül csak a CVE-2024-20353 és a CVE-2024-20359 került kihasználásra az ArcaneDoor kampányban. Bár a kampányban felhasznált eredeti hozzáférési vektor még ismeretlen, a Cisco szoftverfrissítéseket adott ki, és az eseményre adott válasz-tanácsadásában lépéseket adott az ügyfelek számára a Cisco tűzfal eszközeik integritásának ellenőrzésére.
A Censys vizsgálta a Talos által megadott adatokat, a szereplő által ellenőrzött IP-címeket, és összevetették azokat más tanúsítványmutatókkal, olyan meggyőző adatokat találtak, amelyek egy kínai székhelyű szereplő lehetséges részvételére utalnak, beleértve több jelentős kínai hálózathoz való kapcsolódást és a kínai fejlesztésű cenzúraellenes szoftverek jelenlétét. Ebben a szakaszban nehéz végleges következtetéseket levonni.
Ahogy az ArcaneDoor ügyében folytatott nyomozás folytatódik, várhatóan további adatok fognak kiderülni a támadások áldozatairól.