.
Atenção: os criadores de ransomware estão explorando uma fraqueza de dia zero da Cisco em alguns de seus produtos VPN. A gigante das redes emitiu uma solução provisória para resolver o descuido enquanto funciona em um patch completo.
A falha de gravidade média, rastreada como CVE-2023-20269, existe no recurso VPN de acesso remoto das pilhas de software Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) da Cisco.
Essencialmente, acontece que não há nada que realmente impeça os invasores de forçar a entrada em um dispositivo vulnerável, executando todas as combinações possíveis ou prováveis de nome de usuário e senha. Se você tiver a autenticação multifator configurada e estiver usando credenciais de login fortes, tudo bem.
A Cisco disse que tudo se deve à separação inadequada de autenticação, autorização e contabilidade entre o recurso VPN remoto, o gerenciamento HTTPS e os recursos VPN site a site.
Como o fabricante observado: “Esta vulnerabilidade não permite que um invasor ignore a autenticação. Para estabelecer com êxito uma sessão VPN de acesso remoto, são necessárias credenciais válidas, incluindo um segundo fator válido se a autenticação multifator (MFA) estiver configurada.”
Por mais básico que seja, não parece dissuadir os cibercriminosos que, segundo a Cisco, têm tentado explorar esta vulnerabilidade desde agosto.
O software pode “permitir que um invasor remoto não autenticado conduza um ataque de força bruta na tentativa de identificar combinações válidas de nome de usuário e senha”, observou o gigante de TI, “ou um invasor remoto autenticado estabeleça uma sessão VPN SSL sem cliente com um não autorizado. do utilizador.”
Akira, LockBit por trás de explorações
“A Cisco recomenda fortemente que os clientes atualizem para uma versão de software fixa para remediar esta vulnerabilidade, uma vez disponível, e apliquem uma das soluções alternativas sugeridas enquanto isso”, diz seu comunicado de segurança. Ele também direciona os clientes para um artigo anterior sobre o Gangue de ransomware Akira visando VPNs Cisco que não estão configuradas para MFA e vulneráveis a logins de força bruta.
Rapid7 relatou as tentativas de exploração à Cisco e tem trabalhado com a gigante de TI para resolver o problema. Em uma postagem de 29 de agosto atualizada na quinta-feira, a empresa de segurança disse ter detectado “pelo menos 11 clientes que sofreram invasões relacionadas ao Cisco ASA entre 30 de março e 24 de agosto de 2023”.
Essas invasões resultaram em infecções de ransomware em empresas de todos os tamanhos por Akira e LockBit. Rapid7 também observou que as vítimas abrangem saúde, serviços profissionais, manufatura, petróleo e gás e outras indústrias.
“O Rapid7 não observou nenhum desvio ou evasão de MFA configurado corretamente”, acrescentaram os pesquisadores de segurança.
De acordo com Atualização de 7 de setembro: “CVE-2023-20269 está sendo explorado em estado selvagem e está relacionado a alguns dos comportamentos que Rapid7 observou e descreveu neste blog.”
Considerando que a Cisco apontou equipes de ransomware atacando VPNs que não usam MFA, e a Rapid7 disse que os criminosos não conseguiram invadir contas que usam autenticação de dois fatores, é altamente recomendável implementar o MFA como sua primeira linha de defesa . E se suas VPNs Cisco já usam MFA, verifique se ele está configurado corretamente.
Soluções provisórias
Até que a Cisco desenvolva um patch completo para o software ASA e FTD, ela recomenda que os administradores implementem uma série de soluções alternativas para proteção contra ataques.
Para a situação de VPN SSL sem cliente, isso inclui a configuração de uma política de acesso dinâmico (DAP) para encerrar o estabelecimento do túnel VPN quando o perfil de conexão/grupo de túneis DefaultADMINGroup ou DefaultL2LGroup for usado.
Além disso, se você não estiver usando a Política de Grupo Padrão (DfltGrpPolicy) para acesso VPN remoto e se não estiver esperando que os usuários no banco de dados de usuários LOCAL estabeleçam túneis VPN de acesso remoto, é uma boa ideia definir a VPN- opção de logins simultâneos para zero. A Cisco fornece instruções sobre como fazer isso em ambos os cenários.
Certifique-se de ativar Strong The One para garantir que você detecte tentativas de força bruta antes que elas resultem em uma invasão bem-sucedida.
“A ausência de registros detalhados deixa lacunas no entendimento, dificultando uma análise clara do método de ataque”, diz o alerta. “A Cisco recomenda ativar Strong The One em um servidor syslog remoto para melhorar a correlação e a auditoria de incidentes de rede e de segurança em vários dispositivos de rede.” ®
.
