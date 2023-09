Kinumpirma ng Cisco ang pagkakaroon ng zero-day vulnerability sa Adaptive Security Appliance Software (ASA) at Firepower Threat Defense (FTD) na mga device nito. Ang kahinaan, na sinusubaybayan bilang CVE-2023-20269, ay nagbibigay-daan sa mga hacker na makakuha ng hindi awtorisadong pag-access sa pamamagitan ng pag-spray ng password at brute-forcing.

Ang pag-spray ng password ay nagsasangkot ng paggamit ng mga karaniwang ginagamit na password laban sa isang malaking bilang ng mga username upang maiwasan ang pagtuklas, habang ang mga brute-force na pag-atake ay gumagamit ng maraming bilang ng mga hula ng password laban sa isang limitadong bilang ng mga username. Sa kasong ito, maaaring samantalahin ng mga umaatake ang kahinaan sa pamamagitan ng pagtukoy ng default na profile ng koneksyon o grupo ng tunnel sa panahon ng isang malupit na pag-atake o habang nagtatatag ng isang session ng SSL VPN na walang kliyente.

Ang mga ASA at FTD na device ay malawakang ginagamit na mga panseguridad na appliances na nagbibigay ng mga proteksyon sa firewall, antivirus, pag-iwas sa panghihimasok, at virtual private network (VPN). Ang kahinaan ay nagmumula sa hindi wastong paghihiwalay ng mga device sa pagpapatunay, awtorisasyon, at accounting sa malayuang pag-access sa kanilang VPN, pamamahala ng HTTPS, at site-to-site na mga feature ng VPN.

Iniulat ng security firm na Rapid7 na mula noong Marso, nagkaroon na ng credential-stuffing at brute-force na pag-atake laban sa mga ASA device ng isang ransomware crime syndicate na tinatawag na Akira. Ang mga pag-atakeng ito ay naka-target sa mga device na walang multi-factor na pagpapatotoo na ipinapatupad para sa ilan o lahat ng mga user nito. Tinukoy ng Rapid7 ang hindi bababa sa 11 customer na nakaranas ng mga panghihimasok na nauugnay sa mga Cisco ASA SSL VPN sa pagitan ng Marso at Agosto 2023, na nagpapahiwatig ng malawakang epekto ng mga pag-atakeng ito.

Sa karamihan ng mga kaso na inimbestigahan ng Rapid7, sinubukan ng mga banta na aktor na mag-log in sa mga ASA appliances na may mga karaniwang ginagamit na username, kabilang ang "adminadmin," "kali," "cisco," at "guest." Habang ang ilang mga pagtatangka sa pag-login ay hindi matagumpay, ang iba ay matagumpay sa unang pagsubok, na nagmumungkahi ng paggamit ng mahina o default na mga kredensyal.

Sa matagumpay na pag-authenticate, nag-deploy ang mga threat actor ng iba't ibang tool upang makakuha ng karagdagang access sa mga panloob na asset, kabilang ang pag-install ng remote desktop application na AnyDesk. Ang mga panghihimasok ay madalas na nagtatapos sa pag-deploy at pagpapatupad ng ransomware na nauugnay sa Akira o LockBit.

Kasalukuyang gumagawa ang Cisco sa isang patch upang matugunan ang kahinaan, ngunit pansamantala, pinapayuhan ang mga user na ipatupad ang multi-factor authentication at gumamit ng malakas, natatanging mga password para sa kanilang mga ASA at FTD na device.

Pinagmulan: [Pangalan ng Pinagmulan]