Cisco ได้เตือนให้ผู้ใช้งานเร่งอัปเดตแพตช์ใน 2 ช่องโหว่ในผลิตภัณฑ์ ASA และ Firepower โดยตนเริ่มพบการโจมตีโดยกลุ่มคนร้ายที่มีรัฐสนับสนุนในช่วงต้นปีที่ผ่านมา แต่มีหลักฐานที่สันนิษฐานได้ว่าคนร้ายได้ใช้ช่องโห่วดังกล่าวมาตั้งแต่กลางปีก่อนแล้ว
2 ช่องโหว่ที่กล่าวถึงคือ CVE-2024-20353 และ CVE-2024-20359 ซึ่งเป็นช่องโหว่ DoS และลอบรันโค้ด ที่คนร้ายระดับรัฐสนับสนุนที่ถูกตั้งชื่อในนาม UAT4356 หรือ STORM-1849 ใช้เพื่อฝังตัวในเครือข่ายรัฐบาลหลายแห่งภายใต้แคมเปญที่ชื่อว่า ArcaneDoor
ในปฏิบัติการฝังตัวคนร้ายได้ติดตั้งมัลแวร์ Line Dancer ที่เป็น Shellcode Loader เพื่อลอบรัน payload สั่งปิด Log, เปิดการเข้าถึงแบบรีโมต และจับแพ็กเกจ อีกส่วนหนึ่งสำหรับการฝังตัวยาวนานคนร้ายได้ใช้มัลแวร์ Line Runner ที่มาพร้อมกับกลไกหลีกเลี่ยงการตรวจจับ และทำให้รันโค้ดภาษา Lua ในระบบได้
จากการศึกษาพฤติกรรม Cisco ค่อนหน้ามั่นใจว่าคนร้ายที่ดำเนินแคมเปญมีฝีมือฉกาจรู้ลึกเกี่ยวกับอุปกรณ์ของเป้าหมาย มีวิธีการซับซ้อน พยายามเก็บข้อมูลและคืบคลานในเครือข่าย
สำหรับผู้ใช้งาน ASA และ Firepower ปัจจุบันมีแพตช์ให้อัปเดตแล้ว ซึ่ง Cisco แนะให้เร่งอัปเดต พร้อมสำรวจติดตาม Log หาสัญญาณความผิดปกติ เช่น มีการรีบูตที่ไม่วางแผนล่วงหน้า มีการแก้ไขการตั้งค่าโดยไม่ได้รับอนุญาตและมีกิจกรรมที่น่าสงสัย หรือตรวจสอบความถูกต้องของระบบได้ที่ https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response
ช่องโหว่ทั้งสองไม่ได้ถูกจัดในระดับร้ายแรงแต่ก็ถูกนำไปติดอาวุธได้อย่างมีประสิทธิภาพในมือของคนร้ายที่มีทักษะระดับสูง ซึ่งเป็นตัวอย่างที่ดีว่าการอัปเดตแพตช์อย่างสม่ำเสมอเป็นเรื่องจำเป็น