.
Pesquisadores de segurança acreditam que o grupo de ransomware Akira pode estar explorando uma vulnerabilidade da Cisco com quase quatro anos de existência e usando-a como ponto de entrada nos sistemas das organizações.
Em oito dos mais recentes compromissos de resposta a incidentes da empresa de segurança TrueSec que envolveram Akira e AnyConnect SSL VPN da Cisco como ponto de entrada, pelo menos seis dos dispositivos estavam executando versões vulneráveis ao CVE-2020-3259, que foi corrigido em maio de 2020.
A vulnerabilidade está na interface de serviços da web do software Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD), permitindo que invasores extraiam segredos armazenados na memória em texto não criptografado, como nomes de usuário e senhas – à la CitrixBleed.
TrueSec disse que, como não existe um código de exploração disponível publicamente para a vulnerabilidade da Cisco, isso significa que os cibercriminosos como aqueles que trabalham para Akira precisariam ter comprado essa exploração de algum lugar ou desenvolvido um por conta própria, o que exigiria um profundo entendimento da falha. .
Há muito se sabe que Akira tem como alvo as VPNs da Cisco como vetor de acesso inicial para ataques de ransomware, mas a possível exploração da antiga vulnerabilidade é a nova descoberta aqui.
A análise de casos anteriores foi frustrada pelos logs de rede “geralmente inexistentes” nos ambientes, de acordo com Heresh Zaremand, consultor sênior da TrueSec, e estes mal foram suficientes para identificar o AnyConnect como o ponto de acesso.
Em um incidente recente, no entanto, a equipe TrueSec conseguiu restaurar seis meses de logs de autenticação radius de um servidor NPS, cuja análise revelou um padrão de comportamento malicioso que sugeria fortemente, mas não provava o uso de uma exploração.
As observações dos pesquisadores que sugeriram o provável uso de uma exploração incluíram:
-
Autenticação de invasores usando credenciais genuínas que foram usadas recentemente pelo titular real da conta
-
Oito contas diferentes foram comprometidas, embora apenas duas tenham sido usadas para movimentação lateral
-
As contas comprometidas tinham nomes de usuário distintos que não seguiam nenhuma convenção de nomenclatura previsível e todas usavam senhas exclusivas
-
Nenhuma evidência de campanhas de phishing direcionadas à organização
-
Nenhuma evidência de ataques de senha nos logs restaurados
-
Nenhuma evidência das credenciais à venda na dark web
Zaremand disse que não havia como determinar quais dados um invasor acessou após uma exploração e que, se conseguissem entrar, provavelmente explorariam o dispositivo várias vezes para acessar diferentes partes do conteúdo de sua memória.
“Se sua organização estiver executando o Cisco AnyConnect e presumindo que o dispositivo foi corrigido desde que uma correção para CVE-2020-3259 estava disponível, é altamente recomendável que você volte atrás quando seu dispositivo foi atualizado para uma versão não vulnerável”, acrescentou. .
“Isso é importante porque não é possível determinar por quanto tempo esta vulnerabilidade foi explorada. Por exemplo, se o seu retrocesso mostrar que seus dispositivos foram atualizados há seis meses, então é bom considerar qualquer nome de usuário e senha usados para o AnyConnect VPN SSL que não mudou nos últimos seis meses como comprometida.”
Nesses casos, as organizações são aconselhadas a iniciar amplas redefinições de senha e considerar comprometidos quaisquer outros segredos ou chaves pré-compartilhadas na configuração do dispositivo.
Habilitar a MFA é o conselho dado às organizações após um ataque e, é claro, aplicar os patches, caso ainda não o tenha feito.
As ‘impressões impressas por toda parte’ da Rússia
Quando o CVE-2020-3259 foi divulgado, não havia explorações conhecidas publicamente disponíveis, e isso permanece verdade até hoje.
A vulnerabilidade foi descoberta pela empresa russa de pesquisa de segurança Positive Technologies em 2020, que foi colocada na lista de sanções dos EUA um ano depois. De acordo com o Tesouro dos EUA, a Positive Technologies ajudou a inteligência russa (FSB) com os seus serviços de segurança e ajudou a realizar convenções que o FSB utilizou como eventos de recrutamento.
Zaremand disse que TrueSec não estava sugerindo que houvesse quaisquer laços entre Akira e a inteligência russa, mas a pesquisa ofensiva de segurança parece acabar nas mãos de cibercriminosos e de estados-nação.
Ele também apontou para a crença amplamente difundida de que Akira, que recentemente reivindicou um ataque à gigante de cosméticos Lush, é uma ramificação nascida da morte de Conti em 2022, e que se pensava que o próprio Conti tinha ligações com o FSB. ®
.
