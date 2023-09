Nagbigay ang Cisco ng babala tungkol sa isang zero-day na kahinaan, na pinangalanang CVE-2023-20269, sa Cisco Adaptive Security Appliance (ASA) at Cisco Firepower Threat Defense (FTD) system nito. Ang kahinaan na ito ay aktibong pinagsamantalahan ng mga operasyon ng ransomware na naglalayong makakuha ng paunang access sa mga corporate network. Ang katamtamang kalubhaan ng zero-day na kahinaan ay nakakaapekto sa tampok na VPN ng mga Cisco system na ito, na nagbibigay-daan sa mga hindi awtorisadong malayuang umaatake na magsagawa ng mga malupit na pag-atake sa mga kasalukuyang account.

Sa pamamagitan ng pagkakaroon ng access sa mga account na ito, maaaring magtatag ang mga attacker ng walang kliyenteng SSL VPN session sa loob ng nakompromisong network, na posibleng humantong sa iba't ibang kahihinatnan depende sa configuration ng network ng biktima. Ang mga naunang ulat ay nagpahiwatig na ang mga ransomware gang, tulad ng Akira at Lockbit, ay nagta-target sa mga corporate network lalo na sa pamamagitan ng mga Cisco VPN device, na posibleng gumamit ng hindi kilalang kahinaan.

Ang kapintasan, na matatagpuan sa loob ng interface ng mga serbisyo sa web ng Cisco ASA at Cisco FTD na mga device, ay partikular na nakakaapekto sa mga function ng pagpapatunay, awtorisasyon, at accounting (AAA). Ang hindi wastong paghihiwalay ng mga function ng AAA na ito mula sa iba pang feature ng software ay nagbibigay-daan sa mga umaatake na magpadala ng mga kahilingan sa pagpapatunay sa interface ng mga serbisyo sa web, na nakompromiso ang mga bahagi ng awtorisasyon. Ang kapintasan ay nagbibigay-daan sa walang limitasyong brute force na mga pagtatangka sa mga kredensyal nang walang anumang limitasyon sa rate o mekanismo ng pagharang.

Habang kinumpirma ng Cisco ang pagkakaroon ng zero-day na kahinaan na ito at nagbigay ng mga solusyon sa isang pansamantalang bulletin ng seguridad, ang mga opisyal na update sa seguridad para sa mga apektadong produkto ay hindi pa inilabas. Pansamantala, pinapayuhan ang mga administrator ng system na pagaanin ang kamalian sa pamamagitan ng pagpapatupad ng mga hakbang gaya ng paggamit ng Dynamic Access Policies (DAP) upang ihinto ang mga VPN tunnel na may partikular na mga patakaran ng grupo, pagsasaayos ng mga setting ng access sa Default Group Policy, at paglalapat ng mga paghihigpit sa LOCAL user database. . Inirerekomenda din ng Cisco ang pag-secure ng mga profile ng Default Remote Access VPN at pagpapagana ng multi-factor authentication (MFA) upang mabawasan ang panganib ng mga matagumpay na pag-atake.

(Pinagmulan: Cisco Advisory)

Kahulugan:

– Cisco Adaptive Security Appliance (ASA): Isang security device na pinagsasama ang firewall, VPN, at mga kakayahan sa pag-iwas sa panghihimasok.

– Cisco Firepower Threat Defense (FTD): Isang pinag-isang imahe ng software na pinagsasama ang firewall, VPN, at mga tampok sa pag-iwas sa panghihimasok.

– Zero-day na kahinaan: Isang kahinaan ng software na hindi alam ng vendor o developer, na nagbibigay ng pagkakataon para sa mga umaatake na samantalahin ito bago ilabas ang isang patch o update.

– Ransomware: Isang uri ng malisyosong software na nag-e-encrypt ng data ng biktima at humihingi ng ransom upang maibalik ang access dito.

– VPN (Virtual Private Network): Isang teknolohiya ng network na nagbibigay-daan sa secure na komunikasyon sa pagitan ng mga malalayong network o device sa isang pampublikong network, gaya ng internet.

– SSL VPN (Secure Sockets Layer Virtual Private Network): Isang naka-encrypt na teknolohiya ng VPN na nagbibigay ng secure na malayuang pag-access sa mga mapagkukunan ng network.

– AAA (Authentication, Authorization, and Accounting): Isang framework para sa pagkontrol at pamamahala ng access sa mga computer system at network resources, na kinasasangkutan ng authentication ng mga user, awtorisasyon ng kanilang mga karapatan sa pag-access, at pagtatala ng kanilang mga aktibidad.

Tandaan: Ang artikulong ito ay hindi naglalaman ng orihinal na source URL.