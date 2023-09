By

A Cisco figyelmeztetést adott ki CVE-2023-20269 néven a Cisco Adaptive Security Appliance (ASA) és a Cisco Firepower Threat Defense (FTD) rendszerében található nulladik napi sebezhetőség miatt. Ezt a sérülékenységet aktívan kihasználják a zsarolóvírus-műveletek, amelyek kezdeti hozzáférést kívánnak elérni a vállalati hálózatokhoz. A közepes súlyosságú nulladik napi sebezhetőség ezen Cisco rendszerek VPN-szolgáltatását érinti, lehetővé téve az illetéktelen távoli támadók számára, hogy nyers erőszakos támadásokat hajtsanak végre a meglévő fiókok ellen.

Ha hozzáférnek ezekhez a fiókokhoz, a támadók kliens nélküli SSL VPN munkamenetet hozhatnak létre a feltört hálózaton belül, ami az áldozat hálózati konfigurációjától függően különféle következményekkel járhat. A korábbi jelentések azt mutatták, hogy a zsarolóvírus-bandák, mint például az Akira és a Lockbit, elsősorban a Cisco VPN-eszközökön keresztül célozták meg a vállalati hálózatokat, potenciálisan egy ismeretlen sebezhetőséget kihasználva.

A Cisco ASA és Cisco FTD eszközök webszolgáltatási felületén található hiba kifejezetten a hitelesítési, engedélyezési és könyvelési (AAA) funkciókat érinti. Ezen AAA-funkciók más szoftverfunkcióktól való helytelen elkülönítése lehetővé teszi a támadók számára, hogy hitelesítési kéréseket küldjenek a webszolgáltatások felületére, ami veszélyezteti az engedélyezési összetevőket. A hiba korlátlan számú nyers erőpróbát tesz lehetővé a hitelesítő adatokkal, sebességkorlátozás vagy blokkoló mechanizmus nélkül.

Noha a Cisco megerősítette ennek a nulladik napi sebezhetőségnek a létezését, és egy ideiglenes biztonsági közleményben megoldásokat is kínált, az érintett termékek hivatalos biztonsági frissítéseit nem adták ki. Addig is a rendszergazdáknak azt tanácsolják, hogy csökkentsék a hibát olyan intézkedések bevezetésével, mint a dinamikus hozzáférési házirendek (DAP) használata a VPN-alagutak leállítására meghatározott csoportházirendekkel, a hozzáférési beállítások módosítása az alapértelmezett csoportházirendben, és korlátozások alkalmazása a HELYI felhasználói adatbázisra. . A Cisco azt is javasolja, hogy biztosítsa az alapértelmezett távelérési VPN-profilokat, és engedélyezze a többtényezős hitelesítést (MFA) a sikeres támadások kockázatának minimalizálása érdekében.

(Forrás: Cisco Advisory)

Definíciók:

– Cisco Adaptive Security Appliance (ASA): Olyan biztonsági eszköz, amely egyesíti a tűzfalat, a VPN-t és a behatolásmegelőzési képességeket.

– Cisco Firepower Threat Defense (FTD): Egységes szoftverkép, amely egyesíti a tűzfalat, a VPN-t és a behatolásgátló funkciókat.

– Nulladik napi sebezhetőség: A gyártó vagy a fejlesztő számára ismeretlen szoftversérülékenység, amely lehetőséget biztosít a támadóknak, hogy kihasználják azt a javítás vagy frissítés kiadása előtt.

– Ransomware: Olyan rosszindulatú szoftver, amely titkosítja az áldozat adatait, és váltságdíjat követel a hozzáférés helyreállításáért.

– VPN (virtuális magánhálózat): olyan hálózati technológia, amely biztonságos kommunikációt tesz lehetővé távoli hálózatok vagy eszközök között nyilvános hálózaton, például az interneten keresztül.

– SSL VPN (Secure Sockets Layer Virtual Private Network): titkosított VPN technológia, amely biztonságos távoli hozzáférést biztosít a hálózati erőforrásokhoz.

– AAA (Authentication, Authorization, and Accounting): A számítógépes rendszerekhez és hálózati erőforrásokhoz való hozzáférés ellenőrzésére és kezelésére szolgáló keretrendszer, amely magában foglalja a felhasználók hitelesítését, hozzáférési jogaik engedélyezését és tevékenységeik rögzítését.

