Η εταιρεία Cisco προειδοποιεί για μια ευπάθεια zero-day στο Cisco Adaptive Security Appliance (ASA) και το Cisco Firepower Threat Defense (FTD) που εκμεταλλεύονται ενεργά οι ομάδες ransomware για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα.
Η zero-day ευπάθεια με μεσαία σοβαρότητα επηρεάζει το χαρακτηριστικό VPN των Cisco ASA και Cisco FTD, επιτρέποντας σε χάκερ να πραγματοποιήσουν επιθέσεις brute force κατά υφιστάμενων λογαριασμών.
Αποκτώντας πρόσβαση σε αυτούς τους λογαριασμούς, οι επιτιθέμενοι μπορούν να δημιουργήσουν μια συνεδρία SSL VPN χωρίς client στο δίκτυο του οργανισμού που έχει πληγεί, κάτι που μπορεί να έχει διάφορες επιπτώσεις ανάλογα με τη δικτυακή διαμόρφωση του θύματος.
Τον περασμένο μήνα, το BleepingComputer ανέφερε ότι οι χειριστές του Akira ransomware πραγματοποιούσαν παραβίαση εταιρικών δικτύων σχεδόν αποκλειστικά μέσω συσκευών Cisco VPN, με την εταιρεία κυβερνοασφάλειας SentinelOne να υποθέτει ότι μπορεί να συμβαίνει μέσω μιας άγνωστης ευπαθείας.
StealC: Κατάχρηση kiosk mode του browser για κλοπή password
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
OpenAI o1: Νέο AI μοντέλο "σκέφτεται" σαν άνθρωπος
Μια εβδομάδα αργότερα, η Rapid7 ανέφερε ότι η εγκληματική ομάδα Lockbit εκμεταλλεύτηκε επίσης ένα μη τεκμηριωμένο πρόβλημα ασφαλείας στις συσκευές Cisco VPN, πέρα από το Akira ransomware. Ωστόσο, η ακριβής φύση του προβλήματος παρέμενε ασαφής.
Τη στιγμή εκείνη, η Cisco εξέδωσε μια ειδοποίηση προειδοποιώντας ότι οι παραβιάσεις πραγματοποιήθηκαν με το brute forcing των credentials σε συσκευές χωρίς τη διαμόρφωση του MFA.
Αυτή την εβδομάδα, η Cisco επιβεβαίωσε την ύπαρξη μιας ευπάθειας zero-day που χρησιμοποιήθηκε από αυτές τις ομάδες ransomware και παρείχε προσωρινές λύσεις σε ένα δελτίο ασφαλείας.
Ωστόσο, οι ενημερώσεις ασφαλείας για τα προϊόντα που επηρεάζονται δεν είναι ακόμα διαθέσιμες.
Δείτε επίσης: Johnson & Johnson: Η παραβίαση δεδομένων της IBM επηρεάζει ασθενείς
Λεπτομέρειες ευπάθειας
Η ευπάθεια CVE-2023-20269 βρίσκεται στο web services interface των συσκευών Cisco ASA και Cisco FTD, συγκεκριμένα στις λειτουργίες που αφορούν τις λειτουργίες authentication, εξουσιοδότησης (authorization) και accounting (AAA).
Το ελάττωμα προκαλείται από τον ακατάλληλο διαχωρισμό των λειτουργιών AAA και άλλων χαρακτηριστικών του λογισμικού. Αυτό οδηγεί σε περιπτώσεις όπου ένας επιτιθέμενος μπορεί να στείλει αιτήματα πιστοποίησης στο web services interface για να επηρεάσει ή να παραβιάσει τα στοιχεία εξουσιοδότησης.
Δεδομένου ότι αυτά τα αιτήματα δεν έχουν καμία περιορισμένη πρόσβαση, ο επιτιθέμενος μπορεί να χρησιμοποιήσει brute force τεχνικές για να αποκτήσει πρόσβαση στα credentials μέσω αμέτρητων συνδυασμών ονοματεπώνυμου και κωδικού πρόσβασης, χωρίς να υπάρχει περιορισμός ταχύτητας ή αποκλεισμός για abuse.
Για να λειτουργήσουν οι επιθέσεις brute force, η συσκευή Cisco πρέπει να πληροί τις ακόλουθες προϋποθέσεις:
- Τουλάχιστον ένας χρήστης έχει διαμορφωθεί με κωδικό πρόσβασης στο LOCAL database ή ο έλεγχος ταυτότητας διαχείρισης HTTPS οδηγεί σε έναν έγκυρο AAA server.
- Το SSL VPN είναι ενεργοποιημένο σε τουλάχιστον ένα interface ή το IKEv2 VPN είναι ενεργοποιημένο σε τουλάχιστον ένα interface.
Σε περιπτώσεις όπου η συσκευή που στοχεύεται λειτουργεί με Cisco ASA Software Release 9.16 ή νεότερη έκδοση, ο επιτιθέμενος μπορεί να δημιουργήσει μια συνεδρία clientless SSL VPN χωρίς περαιτέρω εξουσιοδότηση μετά από επιτυχημένη πιστοποίηση.
Για να δημιουργηθεί αυτή η συνεδρία SSL VPN χωρίς πελάτη, της οποίας ο στόχος είναι η συμμόρφωση της συσκευής, απαιτούνται οι παρακάτω προϋποθέσεις:
- Ο επιτιθέμενος να διαθέτει έγκυρα διαπιστευτήρια για έναν χρήστη που υπάρχει είτε στην τοπική βάση δεδομένων είτε στον διακομιστή AAA που χρησιμοποιείται για την αυθεντικοποίηση της διαχείρισης HTTPS. Αυτά τα διαπιστευτήρια θα μπορούσαν να αποκτηθούν χρησιμοποιώντας τεχνικές επίθεσης με εξαναγκασμό.
- Η συσκευή να εκτελεί Cisco ASA Software Release 9.16 ή παλαιότερη έκδοση.
- Το SSL VPN να είναι ενεργοποιημένο σε τουλάχιστον ένα interface.
- Το πρωτόκολλο SSL VPN χωρίς client να επιτρέπεται στην πολιτική DfltGrp.
Δείτε επίσης: Apache RocketMQ: Η CISA προειδοποιεί για κρίσιμο σφάλμα
Δείτε επίσης: Οι ΗΠΑ κατηγορούν 9 Ρώσους για το Trickbot malware
Αντιμετώπιση του ελαττώματος
Η Cisco θα κυκλοφορήσει μια ενημέρωση ασφαλείας για την αντιμετώπιση της CVE-2023-20269, αλλά μέχρι να γίνουν διαθέσιμες οι επιδιορθώσεις, συνιστάται στους διαχειριστές συστήματος να προχωρήσουν στις ακόλουθες ενέργειες:
- Χρησιμοποιήστε DAP (Πολιτικές Δυναμικής Πρόσβασης) για να σταματήσετε τα VPN tunnels με DefaultADMINGroup ή DefaultL2LGroup.
- Αποκλείστε την πρόσβαση με το Default Group Policy, προσαρμόζοντας το vpn-simultaneous-logins για την DfltGrpPolicy σε μηδέν και εξασφαλίστε ότι όλα τα προφίλ VPN session αναφέρονται σε μια προσαρμοσμένη πολιτική.
- Εφαρμόστε περιορισμούς στην τοπική βάση δεδομένων του χρήστη, κλειδώνοντας συγκεκριμένους χρήστες σε ένα μόνο προφίλ με την επιλογή “group-lock” και αποτρέποντας τις εγκαταστάσεις VPN, ορίζοντας το “vpn-simultaneous-logins” σε μηδέν.
Πηγή πληροφοριών: bleepingcomputer.com