思科自適應安全設備(Cisco Adaptive Security Appliance,ASA)和思科威脅防禦系統(Cisco Firepower Threat Defense,FTD)中存在一個漏洞,編號為CVE-2023-20269。據外媒報導,勒索軟體組織正利用該漏洞對部分企業內部網路進行初始化訪問。
CVE-2023-20269 漏洞主要影響 Cisco ASA 和 Cisco FTD 的 VPN 功能,允許未經授權的遠端網路攻擊者對使用者現有帳戶進行暴力攻擊,網路攻擊者通過訪問帳戶,可以在被破壞公司的網路中建立無用戶端 SSL VPN 會話。
Akira 勒索軟體組織曾被報導已開始透過思科 VPN 設備入侵某些企業的內部網路。當時,網路安全公司 SentinelOne 推測網路攻擊者可能利用了一個未知安全性漏洞。
Lockbit 勒索軟體組織也被報導利用思科 VPN 設備中一個未記錄的安全性漏洞,但沒有透露該安全性漏洞的更多其它細節。
目前思科證實存在一個被勒索軟體組織利用的零日漏洞,並在臨時安全公告中提供了解決方法。不過,受影響產品的安全更新尚未發佈。
漏洞詳情
CVE-2023-20269 漏洞存在於 Cisco ASA 和 Cisco FTD 設備的 web 服務介面內,由於未正確分離 AAA和其他軟體功能造成。AAA是指具有處理身份驗證、授權和計費的功能。
未正確分離 AAA和其他軟體功能導致攻擊者可以向 web 服務介面發送身份驗證請求以影響或破壞授權元件的情況。由於這些請求沒有限制,網路攻擊者能夠使用無數的用戶名和密碼組合來強制使用憑證,從而避免受到速率限制或被阻止濫用。
要成功讓暴力破解攻擊奏效,Cisco 設備必須滿足以下條件:
- 至少有一個使用者在 LOCAL 資料庫中配置了密碼,或者 HTTPS 管理身份驗證指向有效的 AAA 伺服器;
- 至少在一個介面上啟用了 SSL VPN,或者至少在一個介面中啟用IKEv2 VPN。
如果目標設備運行 Cisco ASA 軟體 9.16 版或更早版本,在無需額外授權情況下,網路攻擊者可以在成功身份驗證後建立無用戶端SSL VPN 會話。
要建立此無用戶端 SSL VPN 會話,目標設備需要滿足以下條件:
- 攻擊者在本地資料庫或用於 HTTPS 管理身份驗證的 AAA 伺服器中擁有用戶的有效憑證,而這些憑證可以使用暴力攻擊取得;
- 設備運行 Cisco ASA 軟體 9.16 版或更早版本;
- 至少在一個介面上啟用了 SSL VPN;
- DfltGrpPolicy 中允許使用無用戶端 SSL VPN 協定。
如何緩解漏洞?
據了解,Cisco將發佈安全更新以解決 CVE-2023-20269漏洞,但在修復更新可用之前,建議系統管理員採取以下措施:
- 使用 DAP(動態訪問策略)停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 通道;
- 將 DfltGrpPolicy的VPN同時登錄調整為零,並確保所有 VPN對話設定檔都指向自訂策略,拒絕使用默認群組原則進行訪問;
- 使用「群組鎖定」選項將特定使用者鎖定到單個設定檔來實現本地使用者資料庫限制,並將「VPN 同時登錄」設置為零來阻止 VPN 設置。
Cisco 還建議將所有非默認設定檔指向 AAA 伺服器(虛擬 LDAP 伺服器)來保護默認遠端存取 VPN 設定檔,並啟用日誌記錄以儘早發現潛在網路攻擊事件。
最後需要注意的是,多因素身份驗證(MFA)可以有效降低網路安全風險,原因是即使網路攻擊者成功破解使用者帳戶憑證,也不足以劫持 MFA 安全帳戶並利用它們建立 VPN 連接。
本文轉載自BleepingComputer。