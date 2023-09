Cisco har bekræftet eksistensen af ​​en nul-dages sårbarhed i deres Adaptive Security Appliance Software (ASA) og Firepower Threat Defense (FTD) enheder. Sårbarheden, der spores som CVE-2023-20269, gør det muligt for hackere at få uautoriseret adgang gennem spraying af adgangskoder og brute-forcing.

Adgangskodesprøjtning involverer brug af almindeligt anvendte adgangskoder mod et stort antal brugernavne for at undgå opdagelse, mens brute-force-angreb bruger et stort antal adgangskoder mod et begrænset antal brugernavne. I dette tilfælde kan angribere udnytte sårbarheden ved at angive en standardforbindelsesprofil eller tunnelgruppe under et brute-force-angreb eller under etablering af en klientløs SSL VPN-session.

ASA- og FTD-enhederne er udbredte sikkerhedsapparater, der giver firewall-, antivirus-, indtrængningsforebyggelse og virtuelt privat netværk (VPN) beskyttelse. Sårbarheden stammer fra enhedernes ukorrekte adskillelse af godkendelse, autorisation og regnskab i fjernadgang blandt deres VPN-, HTTPS-administration og site-to-site VPN-funktioner.

Sikkerhedsfirmaet Rapid7 rapporterede, at der siden marts har været angreb med legitimationsoplysninger og brute-force-angreb mod ASA-enheder af et ransomware-kriminalitetssyndikat kaldet Akira. Disse angreb målrettede enheder uden multifaktorgodkendelse, der blev håndhævet for nogle eller alle dets brugere. Rapid7 identificerede mindst 11 kunder, der oplevede indtrængen relateret til Cisco ASA SSL VPN'er mellem marts og august 2023, hvilket indikerer den udbredte virkning af disse angreb.

I de fleste tilfælde, der blev undersøgt af Rapid7, forsøgte trusselsaktører at logge ind på ASA-apparater med almindeligt anvendte brugernavne, herunder "adminadmin", "kali", "cisco" og "gæst". Mens nogle loginforsøg var mislykkede, lykkedes andre i første forsøg, hvilket tyder på brugen af ​​svage eller standardoplysninger.

Efter vellykket godkendelse implementerede trusselsaktører forskellige værktøjer for at få yderligere adgang til interne aktiver, herunder installationen af ​​fjernskrivebordsapplikationen AnyDesk. Indtrængen kulminerede ofte i implementering og eksekvering af Akira eller LockBit-relateret ransomware.

Cisco arbejder i øjeblikket på en patch for at løse sårbarheden, men i mellemtiden rådes brugerne til at håndhæve multi-faktor-autentificering og bruge stærke, unikke adgangskoder til deres ASA- og FTD-enheder.

