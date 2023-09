By

Cisco ha confirmat l'existència d'una vulnerabilitat de dia zero en els seus dispositius Adaptive Security Appliance Software (ASA) i Firepower Threat Defense (FTD). La vulnerabilitat, rastrejada com a CVE-2023-20269, permet als pirates informàtics obtenir accés no autoritzat mitjançant la polvorització de contrasenyes i el forçament brut.

La polvorització de contrasenyes implica l'ús de contrasenyes d'ús habitual contra un gran nombre de noms d'usuari per evitar la detecció, mentre que els atacs de força bruta utilitzen un gran nombre de conjectures de contrasenyes contra un nombre limitat de noms d'usuari. En aquest cas, els atacants poden explotar la vulnerabilitat especificant un perfil de connexió predeterminat o un grup de túnels durant un atac de força bruta o mentre estableixen una sessió VPN SSL sense client.

Els dispositius ASA i FTD són aparells de seguretat àmpliament utilitzats que proporcionen proteccions de tallafoc, antivirus, prevenció d'intrusions i xarxes privades virtuals (VPN). La vulnerabilitat prové de la separació incorrecta dels dispositius de l'autenticació, l'autorització i la comptabilitat en l'accés remot entre les seves funcions VPN, gestió HTTPS i VPN de lloc a lloc.

L'empresa de seguretat Rapid7 va informar que des del març, hi ha hagut atacs de força bruta i d'ompliment de credencials contra dispositius ASA per part d'un sindicat de crims de ransomware anomenat Akira. Aquests atacs van dirigir dispositius sense l'autenticació multifactor aplicada per a alguns o tots els seus usuaris. Rapid7 va identificar almenys 11 clients que van experimentar intrusions relacionades amb les VPN SSL de Cisco ASA entre març i agost de 2023, cosa que indica l'impacte generalitzat d'aquests atacs.

En la majoria dels casos investigats per Rapid7, els actors d'amenaça van intentar iniciar sessió als dispositius ASA amb noms d'usuari d'ús habitual, com ara "administrador", "kali", "cisco" i "convidat". Tot i que alguns intents d'inici de sessió no van tenir èxit, d'altres van tenir èxit al primer intent, cosa que suggereix l'ús de credencials febles o predeterminades.

Després de l'autenticació correcta, els actors de les amenaces van desplegar diverses eines per obtenir més accés als actius interns, inclosa la instal·lació de l'aplicació d'escriptori remot AnyDesk. Les intrusions sovint van culminar amb el desplegament i l'execució de ransomware relacionat amb Akira o LockBit.

Cisco està treballant actualment en un pedaç per abordar la vulnerabilitat, però mentrestant, es recomana als usuaris que facin complir l'autenticació multifactorial i que utilitzin contrasenyes úniques i fortes per als seus dispositius ASA i FTD.

