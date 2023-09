By

Cisco on kinnitanud oma Adaptive Security Appliance Software (ASA) ja Firepower Threat Defense (FTD) seadmetes nullpäevase haavatavuse olemasolu. See haavatavus, mida jälgitakse kui CVE-2023-20269, võimaldab häkkeritel pääseda volitamata juurde paroolide pritsimise ja jõhkra sundimise kaudu.

Paroolide pihustamine hõlmab sageli kasutatavate paroolide kasutamist suure hulga kasutajanimede vastu, et vältida tuvastamist, samas kui jõhkra jõuga rünnakud kasutavad piiratud arvu kasutajanimede vastu suurel hulgal parooliarvamisi. Sel juhul saavad ründajad haavatavust ära kasutada, määrates jõhkra jõu rünnaku ajal või kliendivaba SSL VPN-seansi loomisel vaikeühenduse profiili või tunnelirühma.

ASA- ja FTD-seadmed on laialdaselt kasutatavad turvaseadmed, mis pakuvad tulemüüri, viirusetõrjet, sissetungitõrjet ja virtuaalse privaatvõrgu (VPN) kaitset. Haavatavus tuleneb seadmete autentimise, autoriseerimise ja raamatupidamise ebaõigest eraldamisest VPN-i, HTTPS-i halduse ja saitidevahelise VPN-i funktsioonide vahel kaugjuurdepääsu puhul.

Turvafirma Rapid7 teatas, et alates märtsist on lunavara kuritegevuse sündikaat Akira korraldanud mandaatide täitmist ja jõhkra jõuga rünnakuid ASA seadmete vastu. Need rünnakud sihivad seadmeid, millel pole mõne või kõigi kasutajate jaoks jõustatud mitmefaktorilist autentimist. Rapid7 tuvastas vähemalt 11 klienti, kes kogesid 2023. aasta märtsist augustini Cisco ASA SSL VPN-idega seotud sissetungi, mis näitab nende rünnakute laialdast mõju.

Enamikul juhtudel, mida Rapid7 uuris, üritasid ohutegijad ASA seadmetesse sisse logida sageli kasutatavate kasutajanimedega, sealhulgas „adminadmin”, „kali”, „cisco” ja „külaline”. Kuigi mõned sisselogimiskatsed olid ebaõnnestunud, õnnestusid teised esimesel katsel, mis viitab nõrkade või vaikemandaatide kasutamisele.

Pärast edukat autentimist kasutasid ohus osalejad erinevaid tööriistu, et saada täiendavat juurdepääsu sisemistele varadele, sealhulgas kaugtöölauarakenduse AnyDesk installimine. Sissetungid kulmineerusid sageli Akira või LockBitiga seotud lunavara juurutamise ja käivitamisega.

Cisco töötab praegu haavatavuse kõrvaldamiseks paiga kallal, kuid seni soovitatakse kasutajatel jõustada mitmefaktoriline autentimine ja kasutada oma ASA- ja FTD-seadmete jaoks tugevaid unikaalseid paroole.

