Zero-day zraniteľnosť Cisco ASA a FTD

6. októbra 2023

Spoločnosť Cisco vydala varovanie pre zraniteľnosť typu zero-day v softvéri Adaptive Security Appliance (ASA) a Firepower Threat Defense (FTD). Zraniteľnosť CVE-2023-20269 bola zneužitá v útokoch ransomvérmi Akira a LockBit.

Zraniteľné systémy:

Cisco Adaptive Security Appliance (ASA) 9.16 a staršie, funkcia vzdialeného prístupu VPN

Cisco Firepower Threat Defense (FTD) , funkcia vzdialeného prístupu VPN

Opis činnosti:

CVE-2023-20269 (CVSS skóre 5,0)

Zraniteľnosť CVE-2023-20269 sa týka vzdialeného prístupu VPN v softvéri Cisco ASA a FTD a je možné ju zneužiť bez nutnosti autentifikácie útočníka. Táto chyba je spôsobená nesprávnym oddelením autentifikácie, autorizácie a účtovania medzi funkciou vzdialeného prístupu VPN, site-to-site VPN a funkciou HTTPS riadenia. Vzdialenému útočníkovi zjednodušuje útoky hrubou silou na autentifikáciu.

Pre zneužitie musí útočník špecifikovať predvolený profil pripojenia, čo umožní identifikovať platné kombinácie používateľského mena a hesla. Útočník s prístupom k platným používateľským povereniam má možnosť vytvoriť reláciu SSL VPN bez klienta s neoprávneným používateľom.

Zariadenia so softvérom Cisco FTD nie sú týmto útokom ohrozené, pretože FTD nepodporuje relácie SSL VPN bez klienta.

Zraniteľnosť útočníci aktívne zneužívajú pre nasadenie škodlivého obsahu, vrátane ransomvéru Akira, či LockBit. Spoločnosť upozorňuje, že táto zraniteľnosť nemôže byť zneužitá na vytvorenie tunela vzdialeného prístupu VPN s klientom alebo na obchádzanie autentifikácie.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Neoprávnený prístup do systému

Odporúčania:

Spoločnosť Cisco zatiaľ nevydala aktualizácie softvéru, ktoré by riešili túto zraniteľnosť. Výrobca odporúča zabrániť pokusom o overenie a vytváranie relácií VPN pre vzdialený prístup pomocou predvolených profilov pripojenia DefaultRAGroup a DefaultWEBVPNGroup, ak ich používateľ nepoužíva. Používateľ by ich mal presmerovať na sinkhole AAA server a nakonfigurovať falošný server LDAP pre predvolené profilové skupiny. Odporúča sa tiež povoliť záznamy udalostí na vzdialenom syslog serveri pre zlepšenie korelácie a auditovania sieťových a bezpečnostných incidentov na rôznych sieťových zariadeniach. Úplný popis odporúčaní nájdete na stránke Cisco.

Odkazy:

https://www.securityweek.com/cisco-asa-zero-day-exploited-in-akira-ransomware-attacks/

https://www.helpnetsecurity.com/2023/09/08/cve-2023-20269/

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC