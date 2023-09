By

Cisco huet d'Existenz vun enger Nulldeeg Schwachstelle bestätegt a seng Adaptive Security Appliance Software (ASA) a Firepower Threat Defense (FTD) Apparater. D'Schwachheet, verfollegt als CVE-2023-20269, erlaabt Hacker onerlaabten Zougang duerch Passwuertsprayen a Brute-Forcing ze kréien.

Passwuertspraying involvéiert d'Benotzung vun allgemeng benotzte Passwierder géint eng grouss Zuel vu Benotzernimm fir d'Erkennung z'evitéieren, während brute-force Attacke eng grouss Zuel vu Passwuert roden géint eng limitéiert Zuel vu Benotzernimm benotzen. An dësem Fall kënnen Ugräifer d'Schwachheet ausnotzen andeems se e Standardverbindungsprofil oder Tunnelgrupp spezifizéieren während engem Brute-Force Attack oder wärend enger clientloser SSL VPN Sessioun.

D'ASA- an FTD-Geräter si wäit verbreet Sécherheetsapparater déi Firewall, Antivirus, Intrusiounsverhënnerung a virtuelle privaten Netzwierk (VPN) Schutz ubidden. D'Schwachheet staamt aus der falscher Trennung vun den Apparater vun der Authentifikatioun, der Autorisatioun an der Comptabilitéit am Fernzougang tëscht hire VPN, HTTPS Management, a Site-to-Site VPN Features.

D'Sécherheetsfirma Rapid7 huet gemellt datt zënter Mäerz et Umeldungsstuff a brute Kraaft Attacke géint ASA Apparater vun engem Ransomware Kriminalitéit Syndikat mam Numm Akira goufen. Dës Attacke cibléiert Geräter ouni Multi-Faktor Authentifikatioun, déi fir e puer oder all vu senge Benotzer duerchgesat gëtt. Rapid7 identifizéiert op d'mannst 11 Clienten déi Andréngen am Zesummenhang mat Cisco ASA SSL VPNs tëscht Mäerz an August 2023 erlieft hunn, wat de verbreeten Impakt vun dësen Attacken ugeet.

An deene meeschte Fäll, déi vu Rapid7 ënnersicht goufen, hunn d'Bedrohungsakteuren probéiert sech op ASA Apparater mat allgemeng benotzte Benotzernimm unzemellen, dorënner "adminadmin", "kali", "cisco" an "gaascht". Wärend e puer Loginversuche net erfollegräich waren, anerer waren am éischte Versuch erfollegräich, wat suggeréiert d'Benotzung vu schwaache oder Standard-Umeldungsinformatiounen.

No der erfollegräicher Authentifikatioun hunn d'Bedrohungsakteuren verschidden Tools ofgesat fir weider Zougang zu internen Verméigen ze kréien, dorënner d'Installatioun vun der Remote Desktop Applikatioun AnyDesk. D'Intrusiounen hunn dacks an der Deployment an Ausféierung vun Akira oder LockBit-verbonne Ransomware kulminéiert.

Cisco schafft momentan un engem Patch fir d'Schwachheet unzegoen, awer an der Tëschenzäit ginn d'Benotzer ugeroden Multi-Faktor Authentifikatioun ëmzesetzen a staark, eenzegaarteg Passwierder fir hir ASA- a FTD-Geräter ze benotzen.

