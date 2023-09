By

Cisco publicou unha solución provisional para resolver unha vulnerabilidade de día cero nalgúns dos seus produtos VPN que está a ser explotada por atacantes de ransomware. A falla, rastrexada como CVE-2023-20269, existe na función VPN de acceso remoto das pilas de software de Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) de Cisco. Os atacantes poden entrar coa forza bruta en dispositivos vulnerables tentando todas as combinacións posibles ou probables de nome de usuario e contrasinal. Non obstante, se se configura a autenticación multifactor con credenciais de inicio de sesión fortes, a vulnerabilidade pódese mitigar.

A vulnerabilidade xorde da separación incorrecta da autenticación, autorización e contabilidade entre as diferentes funcións do sistema VPN. Segundo Cisco, a falla non permite que un atacante evite a autenticación, senón que facilita os ataques de forza bruta para identificar combinacións válidas de nome de usuario e contrasinal. Os cibercriminales tentaron explotar a vulnerabilidade desde agosto.

A banda de ransomware Akira é un grupo que se dirixiu ás VPN de Cisco que non están configuradas para a autenticación de varios factores e son vulnerables aos inicios de sesión de forza bruta. Segundo a firma de seguridade Rapid7, polo menos 11 clientes víronse afectados por infeccións por ransomware de marzo a agosto debido a estas intrusións. As vítimas abarcaron varias industrias, incluíndo a saúde, os servizos profesionais, a industria manufacturera e o petróleo e o gas.

Cisco recomenda actualizar a unha versión de software fixa unha vez dispoñible e, mentres tanto, implementar solucións alternativas para protexerse contra ataques. Estes inclúen a configuración dunha política de acceso dinámico (DAP) para finalizar o establecemento do túnel VPN e establecer a opción vpn-simultaneous-logins en cero se non se utiliza a Política de grupo predeterminada para o acceso remoto VPN. Habilitar o rexistro tamén é importante para detectar intentos de forza bruta.

En conclusión, implementar a autenticación multifactor e configurala correctamente é fundamental para evitar a explotación desta vulnerabilidade nas VPN de Cisco. Os administradores tamén deben aplicar as solucións recomendadas ata que se desenvolva un parche completo.

