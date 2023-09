Cisco har udsendt en advarsel om en nul-dages sårbarhed, kaldet CVE-2023-20269, i deres Cisco Adaptive Security Appliance (ASA) og Cisco Firepower Threat Defense (FTD) systemer. Denne sårbarhed udnyttes aktivt af ransomware-operationer, der søger at få indledende adgang til virksomhedens netværk. Den middelsvære nul-dages sårbarhed påvirker VPN-funktionen i disse Cisco-systemer, hvilket gør det muligt for uautoriserede fjernangribere at udføre brute force-angreb på eksisterende konti.

Ved at få adgang til disse konti kan angribere etablere en klientløs SSL VPN-session inden for det kompromitterede netværk, hvilket potentielt kan føre til forskellige konsekvenser afhængigt af ofrets netværkskonfiguration. Tidligere rapporter indikerede, at ransomware-bander, såsom Akira og Lockbit, primært målrettede virksomhedens netværk gennem Cisco VPN-enheder, hvilket potentielt kunne udnytte en ukendt sårbarhed.

Fejlen, der er placeret i webservicegrænsefladen på Cisco ASA- og Cisco FTD-enheder, påvirker specifikt autentificerings-, autorisations- og regnskabsfunktioner (AAA). Ukorrekt adskillelse af disse AAA-funktioner fra andre softwarefunktioner gør det muligt for angribere at sende godkendelsesanmodninger til webservicegrænsefladen, hvilket kompromitterer autorisationskomponenter. Fejlen muliggør ubegrænsede brute force-forsøg på legitimationsoplysninger uden nogen hastighedsbegrænsning eller blokeringsmekanisme.

Selvom Cisco har bekræftet eksistensen af ​​denne nul-dages sårbarhed og givet løsninger i en midlertidig sikkerhedsbulletin, er officielle sikkerhedsopdateringer til berørte produkter ikke blevet frigivet. I mellemtiden rådes systemadministratorer til at afhjælpe fejlen ved at implementere foranstaltninger som f.eks. at bruge Dynamic Access Policies (DAP) til at standse VPN-tunneler med specifikke gruppepolitikker, justere adgangsindstillingerne i standardgruppepolitikken og anvende begrænsninger på den LOKALE brugerdatabase . Cisco anbefaler også at sikre Standard Remote Access VPN-profiler og aktivere multi-factor authentication (MFA) for at minimere risikoen for vellykkede angreb.

(Kilde: Cisco Advisory)

Definitioner:

– Cisco Adaptive Security Appliance (ASA): En sikkerhedsenhed, der kombinerer firewall, VPN og indtrængningsforebyggelse.

– Cisco Firepower Threat Defense (FTD): Et samlet softwarebillede, der kombinerer firewall, VPN og indtrængningsforebyggende funktioner.

– Zero-day sårbarhed: En softwaresårbarhed, der er ukendt for leverandøren eller udvikleren, hvilket giver angribere mulighed for at udnytte den, før en patch eller opdatering frigives.

– Ransomware: En type ondsindet software, der krypterer et offers data og kræver løsesum for at genoprette adgangen til dem.

– VPN (Virtual Private Network): En netværksteknologi, der tillader sikker kommunikation mellem eksterne netværk eller enheder over et offentligt netværk, såsom internettet.

– SSL VPN (Secure Sockets Layer Virtual Private Network): En krypteret VPN-teknologi, der giver sikker fjernadgang til netværksressourcer.

– AAA (Authentication, Authorization, and Accounting): En ramme til kontrol og styring af adgang til computersystemer og netværksressourcer, der involverer autentificering af brugere, autorisation af deres adgangsrettigheder og registrering af deres aktiviteter.

