Cisco a confirmé l'existence d'une vulnérabilité Zero Day dans ses appareils Adaptive Security Appliance Software (ASA) et Firepower Threat Defense (FTD). La vulnérabilité, identifiée comme CVE-2023-20269, permet aux pirates informatiques d'obtenir un accès non autorisé via la pulvérisation de mots de passe et le forçage brutal.

La pulvérisation de mots de passe consiste à utiliser des mots de passe couramment utilisés sur un grand nombre de noms d'utilisateur pour échapper à la détection, tandis que les attaques par force brute utilisent un grand nombre de suppositions de mots de passe sur un nombre limité de noms d'utilisateur. Dans ce cas, les attaquants peuvent exploiter la vulnérabilité en spécifiant un profil de connexion ou un groupe de tunnels par défaut lors d'une attaque par force brute ou lors de l'établissement d'une session VPN SSL sans client.

Les appareils ASA et FTD sont des appareils de sécurité largement utilisés qui fournissent des protections par pare-feu, antivirus, prévention des intrusions et réseau privé virtuel (VPN). La vulnérabilité provient de la séparation incorrecte des appareils entre l'authentification, l'autorisation et la comptabilité lors de l'accès à distance entre leurs fonctionnalités VPN, de gestion HTTPS et VPN de site à site.

La société de sécurité Rapid7 a signalé que depuis mars, des attaques de type credential stuffing et brute-force contre les appareils ASA ont été menées par un syndicat du crime ransomware appelé Akira. Ces attaques ciblaient les appareils sans authentification multifacteur appliquée pour certains ou tous ses utilisateurs. Rapid7 a identifié au moins 11 clients ayant subi des intrusions liées aux VPN SSL Cisco ASA entre mars et août 2023, ce qui indique l'impact généralisé de ces attaques.

Dans la plupart des cas étudiés par Rapid7, les acteurs malveillants ont tenté de se connecter aux appliances ASA avec des noms d'utilisateur couramment utilisés, notamment « adminadmin », « kali », « cisco » et « invité ». Alors que certaines tentatives de connexion ont échoué, d’autres ont réussi du premier coup, ce qui suggère l’utilisation d’informations d’identification faibles ou par défaut.

Une fois l'authentification réussie, les acteurs malveillants ont déployé divers outils pour accéder davantage aux ressources internes, notamment l'installation de l'application de bureau à distance AnyDesk. Les intrusions ont souvent abouti au déploiement et à l'exécution de ransomwares liés à Akira ou LockBit.

Cisco travaille actuellement sur un correctif pour remédier à la vulnérabilité, mais en attendant, il est conseillé aux utilisateurs d'appliquer une authentification multifacteur et d'utiliser des mots de passe forts et uniques pour leurs appareils ASA et FTD.

