.
A Cisco confirmou na quinta-feira a existência de uma vulnerabilidade de dia zero atualmente não corrigida que hackers estão explorando para obter acesso não autorizado a dois dispositivos de segurança amplamente utilizados que ela vende.
A vulnerabilidade reside no Adaptive Security Appliance Software da Cisco e em seu Firepower Threat Defense, que normalmente são abreviados como ASA e FTD. A Cisco e os pesquisadores sabem desde a semana passada que um sindicato do crime de ransomware chamado Akira estava obtendo acesso a dispositivos por meio de pulverização de senhas e força bruta. A pulverização de senhas, também conhecida como preenchimento de credenciais, envolve testar um punhado de senhas comumente usadas para um grande número de nomes de usuários, na tentativa de evitar a detecção e bloqueios subsequentes. Em ataques de força bruta, os hackers usam um conjunto muito maior de tentativas de senha contra um número mais limitado de nomes de usuário.
Ataques em andamento desde (pelo menos) março
“Um invasor pode explorar essa vulnerabilidade especificando um perfil de conexão/grupo de túneis padrão ao conduzir um ataque de força bruta ou ao estabelecer uma sessão VPN SSL sem cliente usando credenciais válidas”, escreveram funcionários da Cisco em um comunicado. “Uma exploração bem-sucedida pode permitir que o invasor atinja um ou ambos os seguintes:
- Identifique credenciais válidas que poderiam ser usadas para estabelecer uma sessão VPN de acesso remoto não autorizada.
- Estabeleça uma sessão VPN SSL sem cliente (somente ao executar o Cisco ASA Software Release 9.16 ou anterior).
O ASA é um dispositivo de segurança completo que fornece firewall, antivírus, prevenção de invasões e proteções de rede privada virtual. O FTD é o dispositivo de próxima geração da Cisco que combina os recursos do ASA com um console de gerenciamento mais refinado e outros recursos mais avançados. A vulnerabilidade, rastreada como CVE-2023-20269, decorre da separação inadequada de autenticação, autorização e contabilidade dos dispositivos no acesso remoto entre seus recursos VPN, gerenciamento HTTPS e VPN site a site. Tem uma classificação de gravidade de 5,0 em 10 possíveis.
Pesquisadores da empresa de segurança Rapid7 relataram na semana passada que observaram preenchimento de credenciais e ataques de força bruta contra dispositivos ASA desde pelo menos março passado. Os ataques vinham do Akira e tinham como alvo dispositivos que não tinham autenticação multifatorial aplicada a alguns ou todos os seus usuários, disseram os pesquisadores.
“O Rapid7 identificou pelo menos 11 clientes que sofreram invasões relacionadas ao Cisco ASA entre 30 de março e 24 de agosto de 2023”, afirmou a postagem de 29 de agosto, intitulada “Sob cerco: exploração observada pelo Rapid7 de VPNs SSL do Cisco ASA”. “Nossa equipe rastreou a atividade maliciosa até um dispositivo ASA que atende VPNs SSL para usuários remotos. Os patches dos dispositivos ASA variaram entre os dispositivos comprometidos – o Rapid7 não identificou nenhuma versão específica que fosse excepcionalmente suscetível à exploração.”
Os ataques, conforme ilustrado em uma imagem incluída na postagem do Rapid7, muitas vezes direcionavam múltiplas tentativas de login a um alvo em rápida sucessão. Embora ambas as tentativas de login capturadas no registro de atividades retratado tenham sido malsucedidas, os invasores em alguns casos “autenticaram-se com sucesso na primeira tentativa, o que pode indicar que as contas das vítimas estavam usando credenciais fracas ou padrão”.
.
