A Cisco alerta sobre o zero-day do VPN explorado por gangues de ransomware
11 de Setembro de 2023

A Cisco está alertando para uma vulnerabilidade zero-day de CVE-2023-20269 em seu Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD) que está sendo ativamente explorada por operações de ransomware para obter acesso inicial às redes corporativas.

A vulnerabilidade zero-day de gravidade média impacta o recurso de VPN do Cisco ASA e do Cisco FTD, permitindo que invasores remotos não autorizados conduzam ataques de força bruta contra contas existentes.

Ao acessar essas contas, os invasores podem estabelecer uma sessão de VPN SSL sem cliente na rede da organização violada, o que pode ter repercussões variadas dependendo da configuração da rede da vítima.

No mês passado, o BleepingComputer relatou que a gangue de ransomware Akira estava violando redes corporativas quase exclusivamente por meio de dispositivos VPN da Cisco, com a empresa de cibersegurança SentinelOne especulando que isso poderia ser através de uma vulnerabilidade desconhecida.

Uma semana depois, a Rapid7 relatou que a operação de ransomware Lockbit também explorou um problema de segurança não documentado nos dispositivos VPN da Cisco, além do Akira.

No entanto, a natureza exata do problema permaneceu incerta.

Na época, a Cisco emitiu um aviso de que as violações foram realizadas por ataques de força bruta em credenciais em dispositivos sem MFA configurado.

Esta semana, a Cisco confirmou a existência de uma vulnerabilidade zero-day que foi usada por essas gangues de ransomware e forneceu soluções alternativas em um boletim de segurança provisório.

No entanto, as atualizações de segurança para os produtos impactados ainda não estão disponíveis.

A falha CVE-2023-20269 está localizada na interface de serviços da web dos dispositivos Cisco ASA e Cisco FTD, especificamente nas funções que lidam com autenticação, autorização e contabilização (AAA).

A falha é causada pela separação inadequada das funções AAA e outros recursos de software.

Isso leva a cenários em que um invasor pode enviar solicitações de autenticação para a interface de serviços da web para impactar ou comprometer os componentes de autorização.

Como essas solicitações não têm limitação, o invasor pode forçar as credenciais usando inúmeras combinações de nome de usuário e senha sem ser limitado ou bloqueado por abuso.

Para que os ataques de força bruta funcionem, o dispositivo Cisco deve atender às seguintes condições:

Pelo menos um usuário está configurado com uma senha no banco de dados LOCAL ou a autenticação de gerenciamento HTTPS aponta para um servidor AAA válido.
A VPN SSL está habilitada em pelo menos uma interface ou a VPN IKEv2 está habilitada em pelo menos uma interface.


Se o dispositivo alvo executa o Cisco ASA Software Release 9.16 ou anterior, o invasor pode estabelecer uma sessão de VPN SSL sem cliente sem autorização adicional após a autenticação bem-sucedida.

Para estabelecer esta sessão de VPN SSL sem cliente, o dispositivo alvo precisa atender a estas condições:

O invasor possui credenciais válidas para um usuário presente no banco de dados LOCAL ou no servidor AAA usado para autenticação de gerenciamento HTTPS.

Essas credenciais podem ser obtidas usando técnicas de ataque de força bruta.
O dispositivo está executando o Cisco ASA Software Release 9.16 ou anterior.
A VPN SSL está habilitada em pelo menos uma interface.
O protocolo VPN SSL sem cliente é permitido no DfltGrpPolicy.


A Cisco lançará uma atualização de segurança para resolver CVE-2023-20269 , mas até que as correções estejam disponíveis, é recomendado aos administradores do sistema que tomem as seguintes ações:

Use o DAP (Dynamic Access Policies) para interromper os túneis VPN com DefaultADMINGroup ou DefaultL2LGroup.
Negue o acesso com Default Group Policy ajustando vpn-simultaneous-logins para DfltGrpPolicy para zero e garantindo que todos os perfis de sessão VPN apontem para uma política personalizada.
Implementar restrições no banco de dados de usuários LOCAL bloqueando usuários específicos para um único perfil com a opção 'group-lock' e prevenir configurações de VPN definindo 'vpn-simultaneous-logins' para zero.


A Cisco também recomenda a segurança dos perfis de VPN remota padrão apontando todos os perfis não padrão para um servidor AAA de sinkhole (servidor LDAP fictício) e ativando o registro para detectar possíveis incidentes de ataque antecipadamente.

Por fim, é crucial notar que a autenticação multifatorial (MFA) mitiga o risco, pois mesmo forçar com sucesso as credenciais da conta não seria suficiente para sequestrar contas seguras com MFA e usá-las para estabelecer conexões VPN.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...