Cisco


Security


Η Cisco προειδοποιεί για την εκμετάλλευση του VPN zero-day από συμμορίες ransomware



By

Marizas Dimitris

Η Cisco προειδοποιεί για ένα θέμα ευπάθειας CVE-2023-20269 zero-day στο Cisco Adaptive Security Appliance (ASA) και το Cisco Firepower Threat Defense (FTD) που αξιοποιείται ενεργά από λειτουργίες ransomware για την απόκτηση αρχικής πρόσβασης σε εταιρικά δίκτυα.

Η ευπάθεια μηδενικής ημέρας μέσης σοβαρότητας επηρεάζει τη δυνατότητα VPN των Cisco ASA και Cisco FTD, επιτρέποντας σε μη εξουσιοδοτημένους απομακρυσμένους εισβολείς να διεξάγουν επιθέσεις ωμής βίας εναντίον υπαρχόντων λογαριασμών.

Με την πρόσβαση σε αυτούς τους λογαριασμούς, οι εισβολείς μπορούν να δημιουργήσουν μια περίοδο σύνδεσης SSL VPN χωρίς πελάτη στο δίκτυο του οργανισμού που έχει παραβιαστεί, η οποία μπορεί να έχει ποικίλες επιπτώσεις ανάλογα με τη διαμόρφωση δικτύου του θύματος.

Τον περασμένο μήνα, η BleepingComputer ανέφερε ότι η συμμορία ransomware

παραβίαζε τα εταιρικά δίκτυα σχεδόν αποκλειστικά μέσω συσκευών Cisco VPN, με την εταιρεία κυβερνοασφάλειας SentinelOne να εικάζει ότι μπορεί να οφείλεται σε άγνωστη ευπάθεια.

Μια εβδομάδα αργότερα,

Το Rapid7 ανέφερε

ότι η λειτουργία Lockbit ransomware εκμεταλλεύτηκε επίσης ένα μη τεκμηριωμένο

ασφάλειας σε συσκευές Cisco VPN εκτός από το Akira. Ωστόσο, η ακριβής φύση του προβλήματος παρέμενε ασαφής.

Εκείνη την εποχή, η Cisco κυκλοφόρησε μια συμβουλευτική προειδοποίηση ότι οι παραβιάσεις πραγματοποιήθηκαν με διαπιστευτήρια ωμής επιβολής σε συσκευές χωρίς διαμορφωμένη MFA.

Αυτή την εβδομάδα, η Cisco επιβεβαίωσε την ύπαρξη μιας ευπάθειας zero-day που χρησιμοποιήθηκε από αυτές τις συμμορίες ransomware και παρείχε λύσεις σε ένα

ενδιάμεσο δελτίο ασφαλείας

.

Ωστόσο, οι ενημερώσεις ασφαλείας για τα επηρεαζόμενα προϊόντα δεν είναι ακόμη διαθέσιμες.

Λεπτομέρειες ευπάθειας

Το ελάττωμα CVE-2023-20269 εντοπίζεται στη δι

φή υπηρεσιών web των συσκευών Cisco ASA και Cisco FTD, συγκεκριμένα στις λειτουργίες που ασχολούνται με λειτουργίες ελέγχου ταυτότητας, εξουσιοδότησης και λογιστικής (AAA).

Το ελάττωμα προκαλείται από ακατάλληλο διαχωρισμό των λειτουργιών AAA και άλλων λειτουργιών λογισμικού. Αυτό οδηγεί σε σενάρια όπου ένας εισβολέας μπορεί να στείλει αιτήματα ελέγχου ταυτότητας στη διεπαφή των υπηρεσιών web για να επηρεάσει ή να υπονομεύσει στοιχεία εξουσιοδότησης.

Δεδομένου ότι αυτά τα αιτήματα δεν έχουν περιορισμό, ο εισβολέας μπορεί να βλάψει τα διαπιστευτήρια βίας χρησιμοποιώντας αμέτρητους συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης χωρίς να περιορίζεται σε ποσοστά ή να αποκλειστεί για κατάχρηση.

Για να λειτουργήσουν οι επιθέσεις ωμής βίας, η συσκευή Cisco πρέπει να πληροί τις ακόλουθες προϋποθέσεις:

  • Τουλάχιστον ένας χρήστης έχει ρυθμιστεί με κωδικό πρόσβασης στη βάση δεδομένων LOCAL

    ή

    Ο έλεγχος ταυτότητας διαχείρισης HTTPS οδηγεί σε έναν έγκυρο διακομιστή AAA.
  • Το SSL VPN είναι ενεργοποιημένο σε τουλάχιστον μία διεπαφή

    ή

    Το IKEv2 VPN είναι ενεργοποιημένο σε τουλάχιστον μία διεπαφή.

Εάν η στοχευμένη συσκευή εκτελεί Cisco ASA Software

9.16 ή παλαιότερη έκδοση, ο εισβολέας μπορεί να δημιουργήσει μια περίοδο λειτουργίας SSL VPN χωρίς πελάτη χωρίς πρόσθετη εξουσιοδότηση μετά από επιτυχή έλεγχο ταυτότητας.

Για να δημιουργήσετε αυτήν τη συνεδρία SSL VPN χωρίς πελάτη, η στοχευμένη συσκευή πρέπει να πληροί αυτές τις προϋποθέσεις:

  • Ο εισβολέας έχει έγκυρα διαπιστευτήρια για έναν χρήστη που υπάρχει είτε στη βάση δεδομένων LOCAL

    ή

    στον διακομιστή AAA που χρησιμοποιείται για έλεγχο ταυτότητας διαχείρισης HTTPS. Αυτά τα διαπιστευτήρια θα μπορούσαν να ληφθούν χρησιμοποιώντας τεχνικές επίθεσης ωμής βίας.
  • Η συσκευή εκτελεί Cisco ASA Software Release 9.16 ή παλαιότερη έκδοση.
  • Το SSL VPN είναι ενεργοποιημένο σε τουλάχιστον μία διεπαφή.
  • Το πρωτόκολλο SSL VPN χωρίς πελάτη επιτρέπεται στο

    Πολιτική DfltGrp.

Μετριασμός του ελαττώματος

Η Cisco θα κυκλοφορήσει μια ενημέρωση ασφαλείας για τη διεύθυνση CVE-2023-20269, αλλά μέχρι να καταστούν διαθέσιμες οι επιδιορθώσεις, συνιστάται στους διαχειριστές του συστήματος να προβούν στις ακόλουθες ενέργειες:

  • Χρησιμοποιήστε DAP (Πολιτικές Δυναμικής Πρόσβασης) για να σταματήσετε τις σήραγγες VPN με DefaultADMINGroup ή DefaultL2LGroup.
  • Απαγόρευση πρόσβασης με την Προεπιλεγμένη

    ομάδας προσαρμόζοντας vpn-simultaneous-logins για DfltGrpPolicy στο μηδέν και διασφαλίζοντας ότι όλα τα προφίλ περιόδου σύνδεσης VPN παραπέμπουν σε μια προσαρμοσμένη πολιτική.
  • Εφαρμόστε τους ΤΟΠΙΚΟΥΣ περιορισμούς της βάσης δεδομένων χρηστών κλειδώνοντας συγκεκριμένους χρήστες σε ένα μόνο προφίλ με την επιλογή ‘group-lock’ και αποτρέψτε τις ρυθμίσεις VPN ορίζοντας το ‘vpn-simultaneous-logins’ στο μηδέν.

Η Cisco συνιστά επίσης την ασφάλεια των προφίλ VPN προεπιλεγμένης απομακρυσμένης πρόσβασης στρέφοντας όλα τα μη προεπιλεγμένα προφίλ σε έναν διακομιστή AAA (εικονικός διακομιστής LDAP) και επιτρέποντας την καταγραφή για την έγκαιρη αναγνώριση πιθανών περιστατικών επίθεσης.

Τέλος, είναι σημαντικό να σημειωθεί ότι ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) μετριάζει τον κίνδυνο, καθώς ακόμη και τα διαπιστευτήρια λογαριασμού που επιβάλλουν με επιτυχία δεν θα αρκούσαν για την παραβίαση λογαριασμών που είναι ασφαλισμένοι με MFA και τη χρήση τους για τη δημιουργία συνδέσεων VPN.



bleepingcomputer.com


Παρόμοια άρθρα



Το κακόβουλο λογισμικό SpyLoan Android στο Google…




Το Strava διαθέτει μια εύχρηστη δυνατότητα άμεσης…




Χρησιμοποιείται από λίγους μόνο σπασίκλες, το…




Τα Windows 11 23H2 φέρεται να έχουν ένα δυσάρεστο…






2023


Akira


CISCO


CVE-2023-20269


LockBit


ransomware


release


security






Marizas Dimitris



79287 posts


10 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.