Компания Cisco предупреждает об уязвимости нулевого дня CVE-2023-20269 в своих устройствах Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), которая активно эксплуатируется бандами вымогателей для получения первоначального доступа к корпоративным сетям.
Уязвимость "нулевого дня" средней степени тяжести затрагивает функцию VPN в Cisco ASA и Cisco FTD, позволяя неавторизованным удаленным злоумышленникам проводить атаки грубой силы на существующие учетные записи.
Получив доступ к этим учетным записям, злоумышленники могут установить бесклиентский сеанс SSL VPN в сети взломанной организации, что может иметь различные последствия в зависимости от конфигурации сети жертвы.
В прошлом месяце компания Герман Геншин сообщила, что банда вымогателей Akira проникает в корпоративные сети почти исключительно через VPN-устройства Cisco, а компания SentinelOne, специализирующаяся на кибербезопасности, предположила, что это может происходить через неизвестную уязвимость.
Неделю спустя компания Rapid7 сообщила, что, помимо Akira, программа-вымогатель Lockbit также использует недокументированную проблему безопасности в VPN-устройствах Cisco. Однако точный характер проблемы остался неясным.
В то время компания Cisco выпустила предупреждение о том, что взломы осуществлялись путем грубого перебора учетных данных на устройствах без настроенного MFA.
На этой неделе компания Cisco подтвердила существование уязвимости нулевого дня, которая использовалась этими бандами вымогателей, и в промежуточном бюллетене безопасности предложила способы ее устранения.
Однако обновления безопасности для затронутых продуктов пока недоступны.
Подробности об уязвимости
Дефект CVE-2023-20269 находится в интерфейсе веб-сервисов устройств Cisco ASA и Cisco FTD, в частности, в функциях, связанных с аутентификацией, авторизацией и учетом (AAA).
Дефект вызван некорректным разделением функций AAA и других программных возможностей. Это приводит к тому, что злоумышленник может отправить запросы на аутентификацию в интерфейс веб-служб, чтобы повлиять на компоненты авторизации или скомпрометировать их.
Поскольку эти запросы не имеют ограничений, злоумышленник может перебирать учетные данные, используя бесчисленные комбинации имен пользователей и паролей, не ограничивая скорость и не блокируя их за злоупотребления.
Для того чтобы атаки методом грубой силы сработали, устройство Cisco должно удовлетворять следующим условиям:
- Хотя бы один пользователь настроен с паролем в базе данных LOCAL или HTTPS-аутентификация управления указывает на действительный AAA-сервер.
- SSL VPN включен хотя бы на одном интерфейсе или IKEv2 VPN включен хотя бы на одном интерфейсе.
Если на целевом устройстве установлено программное обеспечение Cisco ASA версии 9.16 или более ранней, то после успешной аутентификации злоумышленник может установить бесклиентский SSL VPN-сессию без дополнительной авторизации.
Для создания такого сеанса SSL VPN без клиента целевое устройство должно удовлетворять следующим условиям:
- Атакующий имеет действительные учетные данные пользователя, присутствующие либо в базе данных LOCAL, либо на AAA-сервере, используемом для аутентификации управления HTTPS. Эти учетные данные могут быть получены с помощью методов атаки грубой силы.
- На устройстве установлено программное обеспечение Cisco ASA версии 9.16 или более ранней.
- SSL VPN включен хотя бы на одном интерфейсе.
- В политике DfltGrpPolicy разрешен протокол SSL VPN без клиента.
Устранение недостатка
Cisco выпустит обновление безопасности для устранения CVE-2023-20269, но до появления исправлений системным администраторам рекомендуется предпринять следующие действия:
- Использовать DAP (Dynamic Access Policies) для остановки VPN-туннелей с DefaultADMINGroup или DefaultL2LGroup.
- Запретить доступ с помощью групповой политики Default Group Policy, установив значение vpn-simultaneous-logins для DfltGrpPolicy равным нулю и убедившись, что все профили VPN-сессий указывают на пользовательскую политику.
- Реализуйте ограничения LOCAL базы данных пользователей, заблокировав определенных пользователей в одном профиле с помощью опции 'group-lock', и предотвратите установку VPN, установив 'vpn-simultaneous-logins' на ноль.
Cisco также рекомендует защитить VPN-профили удаленного доступа по умолчанию, направив все профили не по умолчанию на сервер AAA (фиктивный LDAP-сервер) и включив протоколирование для раннего обнаружения потенциальных атак.
Наконец, важно отметить, что многофакторная аутентификация (MFA) снижает риск, поскольку даже успешного перебора учетных данных будет недостаточно, чтобы перехватить защищенные MFA учетные записи и использовать их для создания VPN-соединений.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!