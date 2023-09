Cisco hat it bestean befêstige fan in nul-dei kwetsberens yn har Adaptive Security Appliance Software (ASA) en Firepower Threat Defense (FTD) apparaten. De kwetsberens, folge as CVE-2023-20269, lit hackers unautorisearre tagong krije fia wachtwurdsprayen en brute-forcing.

Wachtwurd spuiten omfettet it brûken fan gewoan brûkte wachtwurden tsjin in grut oantal brûkersnammen om deteksje te ûntkommen, wylst brute-force oanfallen in grut oantal wachtwurden rieden tsjin in beheind oantal brûkersnammen. Yn dit gefal kinne oanfallers de kwetsberens eksploitearje troch in standertferbiningsprofyl of tunnelgroep op te jaan by in brute-force oanfal of by it oprjochtsjen fan in clientless SSL VPN-sesje.

De ASA- en FTD-apparaten binne in soad brûkte befeiligingsapparaten dy't firewall, antivirus, ynbraakprevinsje, en firtuele privee netwurk (VPN) beskerming leverje. De kwetsberens komt fan 'e ferkearde skieding fan' e apparaten fan autentikaasje, autorisaasje en boekhâlding yn tagong op ôfstân ûnder har VPN, HTTPS-behear, en site-to-site VPN-funksjes.

Feiligensbedriuw Rapid7 melde dat d'r sûnt maart referinsjes en brute-force oanfallen west hawwe tsjin ASA-apparaten troch in ransomware-misdiedsyndikaat mei de namme Akira. Dizze oanfallen rjochte op apparaten sûnder multi-factor autentikaasje ôftwongen foar guon of al har brûkers. Rapid7 identifisearre teminsten 11 klanten dy't ynbraken ûnderfûnen relatearre oan Cisco ASA SSL VPN's tusken maart en augustus 2023, wat de wiidferspraat ynfloed fan dizze oanfallen oanjout.

Yn 'e measte gefallen ûndersocht troch Rapid7, besochten bedrigingsakteurs oan te melden by ASA-apparaten mei gewoane brûkersnammen, ynklusyf "adminadmin", "kali", "cisco," en "gast." Wylst guon oanmeldpogingen mislearre wiene, wiene oaren suksesfol by de earste poging, wat suggerearret it brûken fan swakke as standert referinsjes.

Nei suksesfolle autentikaasje hawwe bedrigingsakteurs ferskate ark ynset om fierdere tagong te krijen ta ynterne aktiva, ynklusyf de ynstallaasje fan buroblêdapplikaasje op ôfstân AnyDesk. De ynbraken kulminearren faaks yn 'e ynset en útfiering fan Akira of LockBit-relatearre ransomware.

Cisco wurket op it stuit oan in patch om de kwetsberens oan te pakken, mar yn 'e tuskentiid wurde brûkers advisearre om multi-factor-autentikaasje te hanthavenjen en sterke, unike wachtwurden te brûken foar har ASA- en FTD-apparaten.

