11/09/23
Компания Cisco предупреждает о нулевой уязвимости CVE-2023-20269 в своих продуктах Adaptive Security Appliance (Cisco ASA) и Firepower Threat Defense (Cisco FTD). Эта уязвимость средней степени опасности активно используется операциями с рэнсомваром для получения начального доступа к корпоративным сетям.
Уязвимость затрагивает VPN-функцию обоих продуктов и позволяет неавторизованным удалённым атакующим проводить брутфорс против существующих учётных записей. Это может привести к созданию бесклиентской SSL-VPN сессии в нарушенной корпоративной сети, последствия которой зависят от конфигурации сети жертвы, пишет Securitylab.
Банда вымогателей Akira проникает в корпоративные сети совершенно разных организаций в основном именно через устройства Cisco VPN. Исследователи SentinelOne тогда даже предположили, что это может быть связано с неизвестной уязвимостью. А неделю спустя компания Rapid7 сообщила , что вымогательская операция LockBit также использовала недокументированную проблему безопасности в устройствах Cisco VPN.
На этой неделе Cisco подтвердила существование нулевой уязвимости, использованной этими вымогательскими группами, и предоставила временные рекомендации в информационном бюллетене по безопасности. Однако обновления безопасности для затронутых продуктов пока не выпущены.
Уязвимость CVE-2023-20269 берёт своё начало в веб-интерфейсе устройств Cisco ASA и Cisco FTD, а именно в функциях, отвечающих за аутентификацию, авторизацию и учёт (AAA). Нарушение возникает из-за недостаточного разделения этих функций и других программных компонентов, что приводит к возможности проведения атак.
Для успешной атаки устройство Cisco должно соответствовать определённым условиям, включая наличие хотя бы одного пользователя с настроенным паролем и активированным SSL VPN или IKEv2 VPN хотя бы на одном интерфейсе.
До выпуска обновления безопасности для устранения уязвимости CVE-2023-20269 системным администраторам рекомендуется предпринять ряд действий. В числе этих рекомендаций — использование многофакторной аутентификации (MFA), которая сильно снижает риск взлома, так как одних только аутентификационных данных уже не хватит для установления VPN-соединения.
Данный инцидент служит напоминанием о том, что даже надёжные и общепризнанные программные и аппаратные решения могут содержать уязвимости, на устранение которых может уйти долгое время. Именитый бренд не обеспечивает стопроцентную защиту от компрометации, а в обеспечении по-настоящему непреступной киберобороны важен комплексный подход.
