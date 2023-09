Cisco hà cunfirmatu l'esistenza di una vulnerabilità zero-day in i so dispositivi Adaptive Security Appliance Software (ASA) è Firepower Threat Defense (FTD). A vulnerabilità, tracciata cum'è CVE-2023-20269, permette à i pirate di ottene un accessu micca autorizatu per via di a spruzzatura di password è di forza bruta.

A spruzzatura di password implica l'usu di password cumunimenti utilizati contr'à un gran numaru di nomi d'utilizatori per evade a rilevazione, mentre chì l'attacchi di forza bruta utilizanu un gran numaru di cunvinzioni di password contru un numeru limitatu di nomi d'utilizatore. In questu casu, l'attaccanti ponu sfruttà a vulnerabilità specificendu un prufilu di cunnessione predeterminatu o un gruppu di tunnel durante un attaccu di forza bruta o mentre stabiliscenu una sessione VPN SSL senza cliente.

I dispositi ASA è FTD sò apparecchi di sicurezza largamente utilizati chì furnisce firewall, antivirus, prevenzione di intrusioni, è prutezzione di rete privata virtuale (VPN). A vulnerabilità deriva da a separazione impropria di i dispositi di l'autentificazione, l'autorizazione è a cuntabilità in accessu remotu trà e so VPN, a gestione HTTPS è e funzioni VPN da u situ à u situ.

A cumpagnia di sicurezza Rapid7 hà dettu chì dapoi marzu, ci sò stati attacchi di credenziali è attacchi di forza bruta contr'à i dispositi ASA da un sindicatu criminale di ransomware chjamatu Akira. Questi attacchi anu destinatu à i dispositi senza l'autentificazione multifattore infurzata per alcuni o tutti i so utilizatori. Rapid7 hà identificatu almenu 11 clienti chì anu sperimentatu intrusioni ligati à Cisco ASA SSL VPN trà marzu è aostu 2023, chì indicanu l'impattu generalizatu di questi attacchi.

In a maiò parte di i casi investigati da Rapid7, l'attori di minaccia anu pruvatu à accede à l'apparecchi ASA cù nomi d'utilizatori cumuni, cumpresi "adminadmin", "kali", "cisco" è "guest". Mentre chì certi tentativi di login ùn anu micca successu, altri anu successu à u primu tentativu, suggerendu l'usu di credenziali debuli o predeterminate.

Dopu à l'autentificazione successu, l'attori di minaccia anu implementatu diversi strumenti per acquistà più accessu à l'assi interni, cumprese l'installazione di l'applicazione desktop remota AnyDesk. L'intrusioni spessu culminate in l'implementazione è l'esekzione di ransomware Akira o LockBit.

Cisco hè attualmente travagliatu nantu à un patch per affruntà a vulnerabilità, ma intantu, l'utilizatori sò cunsigliati per rinfurzà l'autentificazione multifattore è aduprà password forti è uniche per i so dispositi ASA è FTD.

