ΑρχικήSecurityΗ Cisco προειδοποιεί για την εκμετάλλευση VPN zero-day από ομάδες ransomware

Η Cisco προειδοποιεί για την εκμετάλλευση VPN zero-day από ομάδες ransomware

Η εταιρεία Cisco προειδοποιεί για μια ευπάθεια zero-day στο Cisco Adaptive Security Appliance (ASA) και το Cisco Firepower Threat Defense (FTD) που εκμεταλλεύονται ενεργά οι ομάδες ransomware για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα.

Η Cisco προειδοποιεί για την εκμετάλλευση VPN zero-day από ομάδες ransomware

Η zero-day ευπάθεια με μεσαία σοβαρότητα επηρεάζει το χαρακτηριστικό VPN των Cisco ASA και Cisco FTD, επιτρέποντας σε χάκερ να πραγματοποιήσουν επιθέσεις brute force κατά υφιστάμενων λογαριασμών.

Αποκτώντας πρόσβαση σε αυτούς τους λογαριασμούς, οι επιτιθέμενοι μπορούν να δημιουργήσουν μια συνεδρία SSL VPN χωρίς client στο δίκτυο του οργανισμού που έχει πληγεί, κάτι που μπορεί να έχει διάφορες επιπτώσεις ανάλογα με τη δικτυακή διαμόρφωση του θύματος.

Τον περασμένο μήνα, το BleepingComputer ανέφερε ότι οι χειριστές του Akira ransomware πραγματοποιούσαν παραβίαση εταιρικών δικτύων σχεδόν αποκλειστικά μέσω συσκευών Cisco VPN, με την εταιρεία κυβερνοασφάλειας SentinelOne να υποθέτει ότι μπορεί να συμβαίνει μέσω μιας άγνωστης ευπαθείας.

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 117 minutes ago

Μια εβδομάδα αργότερα, η Rapid7 ανέφερε ότι η εγκληματική ομάδα Lockbit εκμεταλλεύτηκε επίσης ένα μη τεκμηριωμένο πρόβλημα ασφαλείας στις συσκευές Cisco VPN, πέρα ​​από το Akira ransomware. Ωστόσο, η ακριβής φύση του προβλήματος παρέμενε ασαφής.

Τη στιγμή εκείνη, η Cisco εξέδωσε μια ειδοποίηση προειδοποιώντας ότι οι παραβιάσεις πραγματοποιήθηκαν με το brute forcing των credentials σε συσκευές χωρίς τη διαμόρφωση του MFA.

Αυτή την εβδομάδα, η Cisco επιβεβαίωσε την ύπαρξη μιας ευπάθειας zero-day που χρησιμοποιήθηκε από αυτές τις ομάδες ransomware και παρείχε προσωρινές λύσεις σε ένα δελτίο ασφαλείας.

Ωστόσο, οι ενημερώσεις ασφαλείας για τα προϊόντα που επηρεάζονται δεν είναι ακόμα διαθέσιμες.

Δείτε επίσης: Johnson & Johnson: Η παραβίαση δεδομένων της IBM επηρεάζει ασθενείς

Λεπτομέρειες ευπάθειας

Η ευπάθεια CVE-2023-20269 βρίσκεται στο web services interface των συσκευών Cisco ASA και Cisco FTD, συγκεκριμένα στις λειτουργίες που αφορούν τις λειτουργίες authentication, εξουσιοδότησης (authorization) και accounting (AAA).

Το ελάττωμα προκαλείται από τον ακατάλληλο διαχωρισμό των λειτουργιών AAA και άλλων χαρακτηριστικών του λογισμικού. Αυτό οδηγεί σε περιπτώσεις όπου ένας επιτιθέμενος μπορεί να στείλει αιτήματα πιστοποίησης στο web services interface για να επηρεάσει ή να παραβιάσει τα στοιχεία εξουσιοδότησης.

Δεδομένου ότι αυτά τα αιτήματα δεν έχουν καμία περιορισμένη πρόσβαση, ο επιτιθέμενος μπορεί να χρησιμοποιήσει brute force τεχνικές για να αποκτήσει πρόσβαση στα credentials μέσω αμέτρητων συνδυασμών ονοματεπώνυμου και κωδικού πρόσβασης, χωρίς να υπάρχει περιορισμός ταχύτητας ή αποκλεισμός για abuse.

Για να λειτουργήσουν οι επιθέσεις brute force, η συσκευή Cisco πρέπει να πληροί τις ακόλουθες προϋποθέσεις:

  • Τουλάχιστον ένας χρήστης έχει διαμορφωθεί με κωδικό πρόσβασης στο LOCAL database ή ο έλεγχος ταυτότητας διαχείρισης HTTPS οδηγεί σε έναν έγκυρο AAA server.
  • Το SSL VPN είναι ενεργοποιημένο σε τουλάχιστον ένα interface ή το IKEv2 VPN είναι ενεργοποιημένο σε τουλάχιστον ένα interface.

Σε περιπτώσεις όπου η συσκευή που στοχεύεται λειτουργεί με Cisco ASA Software Release 9.16 ή νεότερη έκδοση, ο επιτιθέμενος μπορεί να δημιουργήσει μια συνεδρία clientless SSL VPN χωρίς περαιτέρω εξουσιοδότηση μετά από επιτυχημένη πιστοποίηση.

Για να δημιουργηθεί αυτή η συνεδρία SSL VPN χωρίς πελάτη, της οποίας ο στόχος είναι η συμμόρφωση της συσκευής, απαιτούνται οι παρακάτω προϋποθέσεις:

  • Ο επιτιθέμενος να διαθέτει έγκυρα διαπιστευτήρια για έναν χρήστη που υπάρχει είτε στην τοπική βάση δεδομένων είτε στον διακομιστή AAA που χρησιμοποιείται για την αυθεντικοποίηση της διαχείρισης HTTPS. Αυτά τα διαπιστευτήρια θα μπορούσαν να αποκτηθούν χρησιμοποιώντας τεχνικές επίθεσης με εξαναγκασμό.
  • Η συσκευή να εκτελεί Cisco ASA Software Release 9.16 ή παλαιότερη έκδοση.
  • Το SSL VPN να είναι ενεργοποιημένο σε τουλάχιστον ένα interface.
  • Το πρωτόκολλο SSL VPN χωρίς client να επιτρέπεται στην πολιτική DfltGrp.

Δείτε επίσης: Apache RocketMQ: Η CISA προειδοποιεί για κρίσιμο σφάλμα

Δείτε επίσης: Οι ΗΠΑ κατηγορούν 9 Ρώσους για το Trickbot malware

Αντιμετώπιση του ελαττώματος

Η Cisco θα κυκλοφορήσει μια ενημέρωση ασφαλείας για την αντιμετώπιση της CVE-2023-20269, αλλά μέχρι να γίνουν διαθέσιμες οι επιδιορθώσεις, συνιστάται στους διαχειριστές συστήματος να προχωρήσουν στις ακόλουθες ενέργειες:

  • Χρησιμοποιήστε DAP (Πολιτικές Δυναμικής Πρόσβασης) για να σταματήσετε τα VPN tunnels με DefaultADMINGroup ή DefaultL2LGroup.
  • Αποκλείστε την πρόσβαση με το Default Group Policy, προσαρμόζοντας το vpn-simultaneous-logins για την DfltGrpPolicy σε μηδέν και εξασφαλίστε ότι όλα τα προφίλ VPN session αναφέρονται σε μια προσαρμοσμένη πολιτική.
  • Εφαρμόστε περιορισμούς στην τοπική βάση δεδομένων του χρήστη, κλειδώνοντας συγκεκριμένους χρήστες σε ένα μόνο προφίλ με την επιλογή “group-lock” και αποτρέποντας τις εγκαταστάσεις VPN, ορίζοντας το “vpn-simultaneous-logins” σε μηδέν.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS