Vulnerabilitate în Cisco ASA exploatată de atacatori (CVE-2023-20269)

O vulnerabilitate (CVE-2023-20269) în firewall-urile Cisco Adaptive Security Appliance (ASA) și Cisco Firepower Threat Defense (FTD) este exploatată de atacatori pentru a obține acces la dispozitivele vulnerabile expuse în internet.

CVE-2023-20269 afectează accesul remote prin VPN din cadrul Cisco ASA și FTD. Exploatarea cu success a vulnerabilității ar putea permite unui atacator neautentificat să efectueze atacuri de tip brute force pentru a găsi combinațiile de nume de utilizatori și parole potrivite pentru a stabili o sesiune VPN. De asemenea, un atacator autentificat ar putea stabili o sesiune VPN SSL fără client cu un utilizator neautorizat (dacă rulează Cisco ASA Software Versiunea 9.16 sau anterioare).

Vulnerabilitatea nu permite atacatorilor să evite etapa de autentificare. Pentru a stabili cu succes o sesiune VPN, sunt necesare credențiale valide, inclusiv un al doilea pas de autentificare dacă este configurată autentificarea cu mai mulți factori (MFA).

Au fost folosite o serie de tehnici diferite și payload-uri diferite, inclusiv Akira și LockBit ransomware.

Până la lansarea actualizărilor administratorilor de echipamente le este recomandat să urmeze pașii:

• Utilizarea unei politici de acces dinamic (DAP) pentru a încheia stabilirea tunelului VPN atunci când se utilizează DefaultADMINGroup sau DefaultL2LGroup.
• Blocarea accesului la VPN utilizând politica de grup implicită (DfltGrpPolicy) setând opțiunea vpn-simultaneous-logins pentru DfltGrpPolicy la zero.
• Restricționați accesul utilizatorilor doar pentru un profil de conexiune specific.
• Blocați stabilirea sesiunilor VPN cu acces de la distantă pentru utilizatori

Sursa: https://www.helpnetsecurity.com/2023/09/08/cve-2023-20269/