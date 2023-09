Cisco ha emès una advertència sobre una vulnerabilitat de dia zero, anomenada CVE-2023-20269, als seus sistemes Cisco Adaptive Security Appliance (ASA) i Cisco Firepower Threat Defense (FTD). Aquesta vulnerabilitat està sent explotada activament per operacions de ransomware que busquen obtenir un accés inicial a les xarxes corporatives. La vulnerabilitat de dia zero de gravetat mitjana afecta la funció VPN d'aquests sistemes Cisco, permetent als atacants remots no autoritzats dur a terme atacs de força bruta als comptes existents.

En obtenir accés a aquests comptes, els atacants poden establir una sessió VPN SSL sense client dins de la xarxa compromesa, que pot comportar diverses conseqüències en funció de la configuració de la xarxa de la víctima. Informes anteriors van indicar que grups de ransomware, com Akira i Lockbit, s'orientaven a xarxes corporatives principalment a través de dispositius VPN de Cisco, aprofitant potencialment una vulnerabilitat desconeguda.

El defecte, situat a la interfície de serveis web dels dispositius Cisco ASA i Cisco FTD, afecta específicament les funcions d'autenticació, autorització i comptabilitat (AAA). La separació incorrecta d'aquestes funcions AAA d'altres funcions del programari permet als atacants enviar sol·licituds d'autenticació a la interfície dels serveis web, comprometent els components d'autorització. El defecte permet intents de força bruta il·limitats en credencials sense cap limitació de velocitat ni mecanisme de bloqueig.

Tot i que Cisco ha confirmat l'existència d'aquesta vulnerabilitat de dia zero i ha proporcionat solucions alternatives en un butlletí de seguretat provisional, no s'han publicat actualitzacions oficials de seguretat per als productes afectats. Mentrestant, es recomana als administradors del sistema que mitiguin la fallada implementant mesures com ara utilitzar polítiques d'accés dinàmic (DAP) per aturar els túnels VPN amb polítiques de grup específiques, ajustant la configuració d'accés a la política de grup predeterminada i aplicant restriccions a la base de dades d'usuaris LOCAL. . Cisco també recomana assegurar els perfils VPN d'accés remot predeterminats i habilitar l'autenticació multifactor (MFA) per minimitzar el risc d'atacs amb èxit.

(Font: Cisco Advisory)

Definicions:

– Cisco Adaptive Security Appliance (ASA): un dispositiu de seguretat que combina tallafoc, VPN i capacitats de prevenció d'intrusions.

– Cisco Firepower Threat Defense (FTD): una imatge de programari unificada que combina funcions de tallafoc, VPN i prevenció d'intrusions.

– Vulnerabilitat de dia zero: una vulnerabilitat de programari desconeguda pel venedor o desenvolupador, que ofereix als atacants l'oportunitat d'explotar-la abans que es publiqui un pedaç o una actualització.

– Ransomware: un tipus de programari maliciós que xifra les dades d'una víctima i demana un rescat per restaurar-hi l'accés.

– VPN (Virtual Private Network): tecnologia de xarxa que permet una comunicació segura entre xarxes o dispositius remots a través d'una xarxa pública, com ara Internet.

– SSL VPN (Secure Sockets Layer Virtual Private Network): una tecnologia VPN xifrada que proporciona accés remot segur als recursos de la xarxa.

– AAA (Autenticació, Autorització i Comptabilitat): marc per controlar i gestionar l'accés als sistemes informàtics i recursos de xarxa, que implica l'autenticació dels usuaris, l'autorització dels seus drets d'accés i el registre de les seves activitats.

