Cisco a émis un avertissement concernant une vulnérabilité Zero Day, nommée CVE-2023-20269, dans ses systèmes Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD). Cette vulnérabilité est activement exploitée par des opérations de ransomware cherchant à obtenir un accès initial aux réseaux d'entreprise. La vulnérabilité Zero Day de gravité moyenne affecte la fonctionnalité VPN de ces systèmes Cisco, permettant à des attaquants distants non autorisés de mener des attaques par force brute sur des comptes existants.

En accédant à ces comptes, les attaquants peuvent établir une session VPN SSL sans client au sein du réseau compromis, entraînant potentiellement diverses conséquences en fonction de la configuration réseau de la victime. Des rapports précédents indiquaient que des gangs de ransomwares, tels qu'Akira et Lockbit, ciblaient les réseaux d'entreprise principalement via les appareils VPN Cisco, exploitant potentiellement une vulnérabilité inconnue.

La faille, située dans l'interface des services Web des appareils Cisco ASA et Cisco FTD, affecte spécifiquement les fonctions d'authentification, d'autorisation et de comptabilité (AAA). Une mauvaise séparation de ces fonctions AAA des autres fonctionnalités logicielles permet aux attaquants d'envoyer des demandes d'authentification à l'interface des services Web, compromettant ainsi les composants d'autorisation. La faille permet des tentatives de force brute illimitées sur les informations d'identification sans aucune limitation de débit ni mécanisme de blocage.

Bien que Cisco ait confirmé l'existence de cette vulnérabilité Zero Day et fourni des solutions de contournement dans un bulletin de sécurité intermédiaire, les mises à jour de sécurité officielles pour les produits concernés n'ont pas été publiées. En attendant, il est conseillé aux administrateurs système d'atténuer la faille en mettant en œuvre des mesures telles que l'utilisation de politiques d'accès dynamiques (DAP) pour arrêter les tunnels VPN avec des politiques de groupe spécifiques, l'ajustement des paramètres d'accès dans la stratégie de groupe par défaut et l'application de restrictions à la base de données des utilisateurs LOCAL. . Cisco recommande également de sécuriser les profils VPN d'accès à distance par défaut et d'activer l'authentification multifacteur (MFA) pour minimiser le risque d'attaques réussies.

(Source : Conseil Cisco)

Définitions:

– Cisco Adaptive Security Appliance (ASA) : dispositif de sécurité combinant des fonctionnalités de pare-feu, de VPN et de prévention des intrusions.

– Cisco Firepower Threat Defense (FTD) : une image logicielle unifiée qui combine des fonctionnalités de pare-feu, de VPN et de prévention des intrusions.

– Vulnérabilité Zero Day : vulnérabilité logicielle inconnue du fournisseur ou du développeur, offrant aux attaquants la possibilité de l'exploiter avant la publication d'un correctif ou d'une mise à jour.

– Ransomware : type de logiciel malveillant qui crypte les données d'une victime et demande une rançon pour en restaurer l'accès.

– VPN (Virtual Private Network) : technologie réseau qui permet une communication sécurisée entre des réseaux ou des appareils distants sur un réseau public, tel qu'Internet.

– SSL VPN (Secure Sockets Layer Virtual Private Network) : Une technologie VPN cryptée qui fournit un accès à distance sécurisé aux ressources du réseau.

– AAA (Authentification, Authorization, and Accounting) : Un cadre de contrôle et de gestion de l'accès aux systèmes informatiques et aux ressources réseau, impliquant l'authentification des utilisateurs, l'autorisation de leurs droits d'accès et l'enregistrement de leurs activités.

