0
0
Uma vulnerabilidade (CVE-2023-20269) nos firewalls Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD) está sendo explorada por invasores para obter acesso a dispositivos vulneráveis expostos à Internet.
“Esta vulnerabilidade foi encontrada durante a resolução de um caso de suporte Cisco TAC”, observou a empresa em um comunicado de segurança publicado recentemente, e agradeceu à Rapid7 por relatar uma tentativa de exploração desta vulnerabilidade.
Sobre CVE-2023-20269
CVE-2023-20269 afeta o recurso VPN de acesso remoto das soluções Cisco ASA e FTD.
Pode permitir:
- Um invasor remoto não autenticado para conduzir um ataque de força bruta para identificar combinações válidas de nome de usuário e senha que podem ser usadas para estabelecer uma sessão VPN de acesso remoto não autorizada, ou
- Um invasor remoto autenticado para estabelecer uma sessão VPN SSL sem cliente com um usuário não autorizado (mas somente ao executar o Cisco ASA Software Release 9.16 ou anterior)
Ambas as abordagens exigem que certas condições sejam atendidas.
“Um invasor pode explorar esta vulnerabilidade especificando um perfil de conexão/grupo de túneis padrão ao conduzir um ataque de força bruta ou ao estabelecer uma sessão VPN SSL sem cliente usando credenciais válidas.”
Mas a empresa fez questão de observar que a falha não permite que invasores contornem a autenticação. “Para estabelecer com êxito uma sessão VPN de acesso remoto, são necessárias credenciais válidas, incluindo um segundo fator válido se a autenticação multifator (MFA) estiver configurada.”
Exploração
Embora trabalhe na correção da vulnerabilidade, a Cisco forneceu etapas de mitigação e indicadores de comprometimento que podem apontar para uma exploração bem-sucedida, bem como recomendações para administradores.
Caitlin Condon, chefe de pesquisa de vulnerabilidades da Rapid7, diz que o CVE-2023-20269 permite que os invasores conduzam ataques de força bruta com mais facilidade, e que a força bruta foi uma das técnicas que a empresa observou em recentes ataques de ransomware contra empresas, que começaram com ataques de força bruta . -forçar Cisco ASAs que não tinham autenticação multifator (MFA) ou não a estavam aplicando.
“A Cisco não citou IPs específicos ou informações de atribuição para a vulnerabilidade em seu comunicado. Eles falaram um pouco sobre o comportamento do invasor, mas muitos invasores poderiam ter o mesmo comportamento. Não é possível discernir se há sobreposição de invasores específicos sem mais informações”, disse ela ao Help Net Security.
“Como observamos em nosso blog original sobre isso, Rapid7 observou uma série de técnicas diferentes sendo usadas e uma série de cargas úteis diferentes, incluindo ransomware Akira e LockBit. Esses ataques foram todos diferentes. Eu rejeitaria a premissa de que existe um único invasor ou um grupo definido de invasores.”
FONTE: HELP NET SECURITY