Cisco heeft het bestaan ​​bevestigd van een zero-day-kwetsbaarheid in zijn Adaptive Security Appliance Software (ASA) en Firepower Threat Defense (FTD)-apparaten. De kwetsbaarheid, getraceerd als CVE-2023-20269, stelt hackers in staat ongeautoriseerde toegang te verkrijgen door middel van wachtwoordspray en brute force.

Wachtwoordsprayen houdt in dat veelgebruikte wachtwoorden tegen een groot aantal gebruikersnamen worden gebruikt om detectie te omzeilen, terwijl bij brute-force-aanvallen een groot aantal wachtwoordgissingen wordt gebruikt tegen een beperkt aantal gebruikersnamen. In dit geval kunnen aanvallers misbruik maken van het beveiligingslek door een standaardverbindingsprofiel of tunnelgroep op te geven tijdens een brute-force-aanval of tijdens het opzetten van een clientloze SSL VPN-sessie.

De ASA- en FTD-apparaten zijn veelgebruikte beveiligingsapparaten die bescherming bieden tegen firewalls, antivirusprogramma's, inbraakpreventie en VPN's (virtueel particulier netwerk). De kwetsbaarheid komt voort uit de onjuiste scheiding van authenticatie, autorisatie en accounting bij externe toegang door de apparaten tussen hun VPN-, HTTPS-beheer- en site-to-site VPN-functies.

Beveiligingsbedrijf Rapid7 meldde dat er sinds maart credential stuffing en brute-force-aanvallen zijn geweest op ASA-apparaten door een ransomware-misdaadsyndicaat genaamd Akira. Deze aanvallen waren gericht op apparaten zonder dat meervoudige authenticatie werd afgedwongen voor sommige of alle gebruikers. Rapid7 identificeerde ten minste elf klanten die tussen maart en augustus 11 te maken kregen met inbraken gerelateerd aan Cisco ASA SSL VPN's, wat de wijdverbreide impact van deze aanvallen aangeeft.

In de meeste door Rapid7 onderzochte gevallen probeerden bedreigingsactoren in te loggen op ASA-apparaten met veelgebruikte gebruikersnamen, waaronder ‘adminadmin’, ‘kali’, ‘cisco’ en ‘guest’. Hoewel sommige inlogpogingen niet succesvol waren, waren andere bij de eerste poging wel succesvol, wat erop wijst dat er zwakke of standaard inloggegevens zijn gebruikt.

Na succesvolle authenticatie hebben bedreigingsactoren verschillende tools ingezet om verdere toegang te krijgen tot interne activa, waaronder de installatie van de externe desktop-applicatie AnyDesk. De inbraken culmineerden vaak in de inzet en uitvoering van Akira- of LockBit-gerelateerde ransomware.

Cisco werkt momenteel aan een patch om de kwetsbaarheid aan te pakken, maar in de tussentijd worden gebruikers geadviseerd om multi-factor authenticatie af te dwingen en sterke, unieke wachtwoorden te gebruiken voor hun ASA- en FTD-apparaten.

