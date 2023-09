Cisco ha emesso una soluzione temporanea per risolvere una vulnerabilità zero-day in alcuni dei suoi prodotti VPN che viene sfruttata dagli aggressori ransomware. La falla, identificata come CVE-2023-20269, esiste nella funzionalità VPN di accesso remoto degli stack software Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) di Cisco. Gli aggressori possono penetrare con la forza bruta nei dispositivi vulnerabili tentando tutte le combinazioni possibili o probabili di nome utente e password. Tuttavia, se l'autenticazione a più fattori è configurata con credenziali di accesso avanzate, la vulnerabilità può essere mitigata.

La vulnerabilità deriva da un’errata separazione tra autenticazione, autorizzazione e contabilità tra le diverse funzionalità del sistema VPN. Secondo Cisco, la falla non consente a un utente malintenzionato di aggirare l'autenticazione, ma piuttosto facilita gli attacchi di forza bruta per identificare combinazioni di nome utente e password valide. I criminali informatici tentano di sfruttare questa vulnerabilità già da agosto.

Il gruppo di ransomware Akira è un gruppo che ha preso di mira le VPN Cisco che non sono configurate per l'autenticazione a più fattori e sono vulnerabili agli accessi a forza bruta. Secondo la società di sicurezza Rapid7, da marzo ad agosto almeno 11 clienti sono stati colpiti da infezioni ransomware a causa di queste intrusioni. Le vittime appartenevano a vari settori tra cui sanità, servizi professionali, produzione, petrolio e gas.

Cisco consiglia di eseguire l'aggiornamento a una versione software fissa non appena disponibile e, nel frattempo, di implementare soluzioni alternative per proteggersi dagli attacchi. Questi includono la configurazione di una policy di accesso dinamico (DAP) per terminare la creazione del tunnel VPN e l'impostazione dell'opzione vpn-simultaneous-logins su zero se non si utilizza la policy di gruppo predefinita per l'accesso VPN remoto. Abilitare la registrazione è importante anche per individuare i tentativi di forza bruta.

In conclusione, implementare l'autenticazione a più fattori e configurarla correttamente è fondamentale per prevenire lo sfruttamento di questa vulnerabilità nelle VPN Cisco. Gli amministratori dovrebbero inoltre applicare le soluzioni alternative consigliate fino allo sviluppo di una patch completa.

Fonte:

– Avviso sulla sicurezza Cisco: cisco.com/security/advisory/CVE-2023-20269

– Post sul blog di Rapid7: rapid7.com/blog/post/2023/09/07/zero-day-vulnerability-in-cisco-vpn-products-being-exploited-in-the-wild-by-ransomware-actors/