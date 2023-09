By

Cisco a publié une solution provisoire pour remédier à une vulnérabilité Zero Day dans certains de ses produits VPN qui est exploitée par des attaquants de ransomware. La faille, identifiée comme CVE-2023-20269, existe dans la fonctionnalité VPN d'accès à distance des piles logicielles Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) de Cisco. Les attaquants peuvent se frayer un chemin brutalement vers les appareils vulnérables en essayant toutes les combinaisons nom d'utilisateur-mot de passe possibles ou probables. Toutefois, si l'authentification multifacteur est configurée avec des informations de connexion solides, la vulnérabilité peut être atténuée.

La vulnérabilité résulte d'une séparation incorrecte de l'authentification, de l'autorisation et de la comptabilité entre les différentes fonctionnalités du système VPN. Selon Cisco, la faille ne permet pas à un attaquant de contourner l'authentification, mais facilite plutôt les attaques par force brute pour identifier des combinaisons valides de nom d'utilisateur et de mot de passe. Les cybercriminels tentent d'exploiter cette vulnérabilité depuis août.

Le groupe de ransomwares Akira est un groupe qui cible les VPN Cisco qui ne sont pas configurés pour l'authentification multifacteur et qui sont vulnérables aux connexions par force brute. Selon la société de sécurité Rapid7, au moins 11 clients ont été touchés par des infections par ransomware entre mars et août en raison de ces intrusions. Les victimes provenaient de divers secteurs, notamment les soins de santé, les services professionnels, l’industrie manufacturière, ainsi que le pétrole et le gaz.

Cisco recommande de mettre à niveau vers une version logicielle fixe une fois disponible et, en attendant, de mettre en œuvre des solutions de contournement pour se protéger contre les attaques. Celles-ci incluent la configuration d'une politique d'accès dynamique (DAP) pour mettre fin à l'établissement du tunnel VPN et la définition de l'option vpn-simultaneous-logins sur zéro si vous n'utilisez pas la stratégie de groupe par défaut pour l'accès VPN à distance. L'activation de la journalisation est également importante pour détecter les tentatives de force brute.

En conclusion, la mise en œuvre de l'authentification multifacteur et sa configuration appropriée sont cruciales pour empêcher l'exploitation de cette vulnérabilité dans les VPN Cisco. Les administrateurs doivent également appliquer les solutions de contournement recommandées jusqu'à ce qu'un correctif complet soit développé.

Sources:

– Avis de sécurité Cisco : cisco.com/security/advisory/CVE-2023-20269

– Article du blog Rapid7 : rapid7.com/blog/post/2023/09/07/zero-day-vulnerability-in-cisco-vpn-products-being-exploited-in-the-wild-by-ransomware-actors/