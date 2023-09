By

Cisco hat eine Warnung vor einer Zero-Day-Schwachstelle mit der Bezeichnung CVE-2023-20269 in seinen Systemen Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) herausgegeben. Diese Schwachstelle wird aktiv von Ransomware-Operationen ausgenutzt, die versuchen, sich ersten Zugriff auf Unternehmensnetzwerke zu verschaffen. Die mittelschwere Zero-Day-Schwachstelle betrifft die VPN-Funktion dieser Cisco-Systeme und ermöglicht unbefugten Angreifern aus der Ferne die Durchführung von Brute-Force-Angriffen auf bestehende Konten.

Durch den Zugriff auf diese Konten können Angreifer eine clientlose SSL-VPN-Sitzung innerhalb des kompromittierten Netzwerks aufbauen, was je nach Netzwerkkonfiguration des Opfers möglicherweise verschiedene Konsequenzen nach sich zieht. Frühere Berichte deuteten darauf hin, dass Ransomware-Banden wie Akira und Lockbit Unternehmensnetzwerke hauptsächlich über Cisco VPN-Geräte angreifen und dabei möglicherweise eine unbekannte Schwachstelle ausnutzen.

Der Fehler, der sich in der Webservice-Schnittstelle von Cisco ASA- und Cisco FTD-Geräten befindet, wirkt sich insbesondere auf Authentifizierungs-, Autorisierungs- und Abrechnungsfunktionen (AAA) aus. Eine unsachgemäße Trennung dieser AAA-Funktionen von anderen Softwarefunktionen ermöglicht es Angreifern, Authentifizierungsanfragen an die Web-Services-Schnittstelle zu senden und so Autorisierungskomponenten zu gefährden. Der Fehler ermöglicht unbegrenzte Brute-Force-Versuche gegen Anmeldeinformationen ohne Ratenbegrenzung oder Blockierungsmechanismus.

Obwohl Cisco die Existenz dieser Zero-Day-Schwachstelle bestätigt und in einem vorläufigen Sicherheitsbulletin Problemumgehungen bereitgestellt hat, wurden keine offiziellen Sicherheitsupdates für betroffene Produkte veröffentlicht. In der Zwischenzeit wird Systemadministratoren empfohlen, den Fehler zu beheben, indem sie Maßnahmen wie die Verwendung von Dynamic Access Policies (DAP) ergreifen, um VPN-Tunnel mit bestimmten Gruppenrichtlinien zu stoppen, die Zugriffseinstellungen in der Standardgruppenrichtlinie anzupassen und Einschränkungen auf die LOKALE Benutzerdatenbank anzuwenden . Cisco empfiehlt außerdem, Standard-Remote-Access-VPN-Profile zu sichern und die Multi-Faktor-Authentifizierung (MFA) zu aktivieren, um das Risiko erfolgreicher Angriffe zu minimieren.

(Quelle: Cisco Advisory)

Definitionen:

– Cisco Adaptive Security Appliance (ASA): Ein Sicherheitsgerät, das Firewall-, VPN- und Intrusion-Prevention-Funktionen kombiniert.

– Cisco Firepower Threat Defense (FTD): Ein einheitliches Software-Image, das Firewall-, VPN- und Intrusion-Prevention-Funktionen kombiniert.

– Zero-Day-Schwachstelle: Eine Software-Schwachstelle, die dem Anbieter oder Entwickler unbekannt ist und Angreifern die Möglichkeit bietet, sie auszunutzen, bevor ein Patch oder Update veröffentlicht wird.

– Ransomware: Eine Art Schadsoftware, die die Daten eines Opfers verschlüsselt und ein Lösegeld verlangt, um den Zugriff darauf wiederherzustellen.

– VPN (Virtual Private Network): Eine Netzwerktechnologie, die eine sichere Kommunikation zwischen entfernten Netzwerken oder Geräten über ein öffentliches Netzwerk wie das Internet ermöglicht.

– SSL VPN (Secure Sockets Layer Virtual Private Network): Eine verschlüsselte VPN-Technologie, die sicheren Fernzugriff auf Netzwerkressourcen ermöglicht.

– AAA (Authentication, Authorization, and Accounting): Ein Framework zur Kontrolle und Verwaltung des Zugriffs auf Computersysteme und Netzwerkressourcen, einschließlich der Authentifizierung von Benutzern, der Autorisierung ihrer Zugriffsrechte und der Aufzeichnung ihrer Aktivitäten.

Hinweis: Dieser Artikel enthält nicht die ursprüngliche Quell-URL.