Cisco ha emesso un avviso relativo a una vulnerabilità zero-day, denominata CVE-2023-20269, nei suoi sistemi Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD). Questa vulnerabilità viene sfruttata attivamente dalle operazioni ransomware che cercano di ottenere l'accesso iniziale alle reti aziendali. La vulnerabilità zero-day di media gravità colpisce la funzionalità VPN di questi sistemi Cisco, consentendo agli aggressori remoti non autorizzati di eseguire attacchi di forza bruta sugli account esistenti.

Ottenendo l'accesso a questi account, gli aggressori possono stabilire una sessione VPN SSL senza client all'interno della rete compromessa, portando potenzialmente a varie conseguenze a seconda della configurazione di rete della vittima. Precedenti rapporti indicavano che i gruppi di ransomware, come Akira e Lockbit, prendevano di mira le reti aziendali principalmente attraverso dispositivi VPN Cisco, sfruttando potenzialmente una vulnerabilità sconosciuta.

La falla, situata all'interno dell'interfaccia dei servizi web dei dispositivi Cisco ASA e Cisco FTD, ha un impatto specifico sulle funzioni di autenticazione, autorizzazione e contabilità (AAA). La separazione impropria di queste funzioni AAA da altre funzionalità software consente agli aggressori di inviare richieste di autenticazione all'interfaccia dei servizi Web, compromettendo i componenti di autorizzazione. Il difetto consente tentativi illimitati di forza bruta sulle credenziali senza alcuna limitazione di velocità o meccanismo di blocco.

Sebbene Cisco abbia confermato l'esistenza di questa vulnerabilità zero-day e fornito soluzioni alternative in un bollettino provvisorio sulla sicurezza, gli aggiornamenti di sicurezza ufficiali per i prodotti interessati non sono stati rilasciati. Nel frattempo, si consiglia agli amministratori di sistema di mitigare il difetto implementando misure come l'utilizzo di policy di accesso dinamico (DAP) per arrestare i tunnel VPN con policy di gruppo specifiche, modificando le impostazioni di accesso nella policy di gruppo predefinita e applicando restrizioni al database utente LOCALE. . Cisco consiglia inoltre di proteggere i profili VPN di accesso remoto predefiniti e di abilitare l'autenticazione a più fattori (MFA) per ridurre al minimo il rischio di attacchi riusciti.

(Fonte: consulenza Cisco)

Definizioni:

– Cisco Adaptive Security Appliance (ASA): un dispositivo di sicurezza che combina funzionalità firewall, VPN e prevenzione delle intrusioni.

– Cisco Firepower Threat Defense (FTD): un'immagine software unificata che combina funzionalità firewall, VPN e prevenzione delle intrusioni.

– Vulnerabilità zero-day: una vulnerabilità del software sconosciuta al fornitore o allo sviluppatore, che offre agli aggressori l'opportunità di sfruttarla prima che venga rilasciata una patch o un aggiornamento.

– Ransomware: un tipo di software dannoso che crittografa i dati di una vittima e richiede un riscatto per ripristinarne l'accesso.

– VPN (Virtual Private Network): una tecnologia di rete che consente la comunicazione sicura tra reti o dispositivi remoti su una rete pubblica, come Internet.

– SSL VPN (Secure Sockets Layer Virtual Private Network): una tecnologia VPN crittografata che fornisce un accesso remoto sicuro alle risorse di rete.

– AAA (Authentication, Authorization, and Accounting): un quadro per il controllo e la gestione dell'accesso ai sistemi informatici e alle risorse di rete, che prevede l'autenticazione degli utenti, l'autorizzazione dei loro diritti di accesso e la registrazione delle loro attività.

Nota: questo articolo non contiene l'URL di origine originale.