Cisco alerta sobre dia zero em VPN explorado por ransomware

Vulnerabilidade de dia zero no Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), ambos da empresa, vem sendo explorada ativamente por operadores de ransomware para obter acesso inicial a redes corporativas
Da Redação
10/09/2023

A Cisco está alertando sobre uma vulnerabilidade de dia zero, identificada como CVE-2023-20269, em seu Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), que vem sendo explorada ativamente por operadores de ransomware para obter acesso inicial a redes corporativas.

A vulnerabilidade de dia zero de gravidade média afeta o recurso VPN do Cisco ASA e do Cisco FTD, permitindo que invasores remotos realizem ataques de força bruta contra contas existentes. Ao acessar essas contas, os invasores podem estabelecer uma sessão VPN SSL sem cliente (WebVPN)  na rede da organização violada, o que pode ter repercussões variáveis dependendo da configuração de rede.

No mês passado, o BleepingComputer realatou que a gangue de ransomware Akira estava violando redes corporativas quase exclusivamente por meio de dispositivos VPN da Cisco, em que a empresa de segurança cibernética SentinelOne especulava que poderia ser por meio de uma vulnerabilidade desconhecida.

Uma semana depois, a empresa de segurança cibernética Rapid7 relatou que a operação de ransomware Lockbit também explorou um problema de segurança não documentado em dispositivos VPN da Cisco, além do grupo Akira. No entanto, a natureza exata do problema permanece desconhecida.

Na época, a Cisco divulgou um alerta informando que as violações foram realizadas utilizando credenciais para força bruta em dispositivos sem autenticação multifator (MFA) configurada.

Na semana passada, a Cisco confirmou a existência de uma vulnerabilidade de dia zero que foi usada por essas gangues de ransomware e forneceu soluções alternativas em um boletim de segurança provisório. No entanto, as atualizações de segurança para os produtos afetados ainda não estão disponíveis.

A falha CVE-2023-20269 está localizada na interface de serviços web dos dispositivos Cisco ASA e Cisco FTD, especificamente as funções que lidam com funções de autenticação, autorização e contabilidade (AAA).

A falha é causada pela separação incorreta das funções AAA e outros recursos do software. Isso leva a cenários em que um invasor pode enviar solicitações de autenticação para a interface de serviços web para afetar ou comprometer componentes de autorização.

Como essas solicitações não têm limitação, o invasor pode usar credenciais de força bruta por meio de inúmeras combinações de nome de usuário e senha sem ser limitado ou bloqueado.

Para que os ataques de força bruta funcionem, o dispositivo Cisco deve atender às seguintes condições:

  • Pelo menos um usuário é configurado com uma senha no banco de dados local ou pontos de autenticação de gerenciamento HTTPS para um servidor AAA válido.
  • A VPN SSL está ativada  em pelo menos uma interface ou a  VPN IKEv2 está ativada em ao menos uma interface.

Se o dispositivo de destino executar o Cisco ASA Software Release 9.16 ou anterior, o invasor poderá estabelecer uma sessão VPN SSL sem cliente, sem autorização adicional após a autenticação bem-sucedida.

Para estabelecer essa sessão VPN SSL sem  cliente, o dispositivo de destino precisa atender as seguintes condições:

  • O invasor ter credenciais válidas para um usuário presente no banco de dados local ou no servidor AAA usado para autenticação de gerenciamento HTTPS. Essas credenciais podem ser obtidas usando técnicas de ataque de força bruta.
  • O dispositivo estar executando o Cisco ASA Software Release 9.16 ou anterior.
  • A VPN SSL estar habilitada em pelo menos uma interface.
  • O protocolo VPN SSL sem cliente ser permitido no DfltGrpPolicy.

Veja isso
Falha no software Cisco NX-OS permite ataque DoS
Novo ransomware tem como alvo VPNs Cisco para violar empresas

A Cisco lançará uma atualização de segurança para o CVE-2023-20269, mas até que as correções sejam disponibilizadas, recomenda-se que os administradores de sistema executem as seguintes ações:

  • Use DAP (Políticas de Acesso Dinâmico) para interromper túneis VPN com DefaultADMINGroup ou DefaultL2LGroup.
  • Negar acesso com a Diretiva de Grupo Padrão ajustando os logins simultâneos VPN para DfltGrpPolicy a zero e garantindo que todos os perfis de sessão VPN apontem para uma política personalizada.
  • Implementar restrições de banco de dados de usuários locais bloqueando usuários específicos em um único perfil com a opção ‘group-lock’ e impeça configurações de VPN definindo ‘vpn-simultaneous-logins’ como zero.

A Cisco também recomenda proteger os perfis VPN de acesso remoto padrão apontando todos os perfis não padrão para um servidor AAA (servidor LDAP fictício) e permitindo que o registro em log detecte possíveis incidentes de ataque antecipadamente.Finalmente, é crucial observar que a autenticação multifator (MFA) mitiga o risco, pois mesmo as credenciais de conta brutas bem-sucedidas não seriam suficientes para sequestrar contas protegidas por MFA e usá-las para estabelecer conexões VPN.

Compartilhar: