Bleeping Computer 網站披露,思科自適應安全設備(Cisco Adaptive Security Appliance,ASA)和思科威脅防御系統(Cisco Firepower Threat Defense,FTD)中存在一個漏洞(CVE-2023-20269 ),勒索軟件組織正在利用該漏洞對部分企業內部網絡進行初始化訪問。

CVE-2023-20269 漏洞主要影響 Cisco ASA 和 Cisco FTD 的 VPN 功能,允許未經授權的遠程網絡攻擊者對用戶現有賬戶進行暴力攻擊,網絡攻擊者通過訪問帳戶,可以在被破壞公司的網絡中建立無客戶端 SSL VPN 會話。

值得一提的是,上個月,Bleeping Computer 曾報道稱 Akira 勒索軟件組織已開始通過思科 VPN 設備入侵某些企業的內部網絡。當時,網絡安全公司 SentinelOne 推測網絡攻擊者可能利用了一個未知安全漏洞。

一周后,Rapid7 表示除 Akira 外,Lockbit 勒索軟件組織也在利用思科 VPN 設備中一個未記錄的安全漏洞,但沒有透露該安全漏洞的更多其它細節。事后不久,思科就發布了一份咨詢警告,稱上述違規行為是網絡攻擊者通過在未配置 MFA 的設備上強行使用憑據,才成功入侵部分公司的內部網絡。

本周,思科證實存在一個被勒索軟件團伙利用的零日漏洞,并在臨時安全公告中提供了解決方法。不過,受影響產品的安全更新尚未發布。

漏洞詳情

CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 設備的 web 服務接口內,由于未正確分離 AAA 功能和其他軟件功能造成。(具有處理身份驗證、授權和計費(AAA)功能的功能)。

這就導致攻擊者可以向 web 服務接口發送身份驗證請求以影響或破壞授權組件的情況,由于這些請求沒有限制,網絡攻擊者能夠使用無數的用戶名和密碼組合來強制使用憑據,從而避免受到速率限制或被阻止濫用。

要使暴力攻擊奏效,Cisco 設備必須滿足以下條件:

至少有一個用戶在 LOCAL 數據庫中配置了密碼,或者 HTTPS 管理身份驗證指向有效的 AAA 服務器;
至少在一個接口上啟用了 SSL VPN,或者至少在一一個接口中啟用了 IKEv2 VPN。

如果目標設備運行 Cisco ASA 軟件 9.16 版或更早版本,在無需額外授權情況下,網絡攻擊者可以在成功身份驗證后建立無客戶端SSL VPN 會話。

要建立此無客戶端 SSL VPN 會話,目標設備需要滿足以下條件:

攻擊者在 LOCAL 數據庫或用于 HTTPS 管理身份驗證的 AAA 服務器中擁有用戶的有效憑據,這些證書可以使用暴力攻擊技術獲得;
設備正在運行 Cisco ASA 軟件 9.16 版或更早版本;
至少在一個接口上啟用了 SSL VPN;
DfltGrpPolicy 中允許使用無客戶端 SSL VPN 協議。

如何緩解漏洞?

據悉,思科將發布安全更新以解決 CVE-2023-20269 安全漏洞問題,但在修復更新可用之前,建議系統管理員采取以下措施:

使用 DAP(動態訪問策略)停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道;
通過將 DfltGrpPolicy的vpn 同時登錄調整為零,并確保所有 vpn 會話配置文件都指向自定義策略,拒絕使用默認組策略進行訪問;
通過使用“組鎖定”選項將特定用戶鎖定到單個配置文件來實現 LOCAL 用戶數據庫限制,并通過將“VPN 同時登錄”設置為零來阻止 VPN 設置。
Cisco 還建議通過將所有非默認配置文件指向 AAA 服務器(虛擬 LDAP 服務器)來保護默認遠程訪問 VPN 配置文件,并啟用日志記錄以盡早發現潛在網絡攻擊事件。

最后,需要注意的是,多因素身份驗證(MFA)可以有效降低網絡安全風險,原因是即使網絡攻擊者成功強制使用帳戶憑據,也不足以劫持 MFA 安全帳戶并使用它們建立 VPN 連接。

思科 vpn 軟件 信息安全 網絡安全 漏洞 勒索 科技新聞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接