Concrètement, Arcane Door se déploie en deux temps. La première phase consiste à exploiter deux vulnérabilités zero-day (failles qui n’ont reçu aucun correctif connu) : CVE-2024-20353 et CVE-2024-20359, dans les appareils Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense. (FTD),
CVE-2024-20353 est une vulnérabilité de haute gravité évaluée sur CVSS 8.6. Il se situe dans les serveurs web et VPN de gestion des appareils Cisco ASA et FTD, et permet d’effectuer certaines commandes à distance sur les appareils protégés comme une réinitialisation provoquant un déni de service.
En exploitant la faille CVE-2024-20359, moins grave mais tout aussi dommageable, qui obtient un score CVSS de 6,0, le pirate peut exécuter du code arbitraire avec des privilèges de niveau racine à condition qu’il dispose d’un accès administrateur.
Une fois ces deux failles exploitées, la voie est libre pour injecter deux malwares qui auront chacun un rôle précis à jouer dans la campagne. Le premier, Line Dancer, est un implant mémoire qui exécute des charges utiles de shellcode, désactive le syslog, exécute des commandes, provoque le redémarrage de l’appareil et échappe à l’analyse. Il peut également tromper la fonction AAA pour autoriser une connexion via un tunnel VPN avec authentification par numéro magique. Le second, Line Runner, est un shell Web persistant. Il peut télécharger et exécuter des scripts Lua, qui sont comme des instructions spéciales.
