警告!思科 VPN 漏洞或被勒索软件利用
Bleeping Computer 网站披露,思科自适应安全设备(Cisco Adaptive Security Appliance,ASA)和思科威胁防御系统(Cisco Firepower Threat Defense,FTD)中存在一个漏洞(CVE-2023-20269 ),勒索软件组织正在利用该漏洞对部分企业内部网络进行初始化访问。
CVE-2023-20269 漏洞主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能,允许未经授权的远程网络攻击者对用户现有账户进行暴力攻击,网络攻击者通过访问帐户,可以在被破坏公司的网络中建立无客户端 SSL VPN 会话。
值得一提的是,上个月,Bleeping Computer 曾报道称 Akira 勒索软件组织已开始通过思科 VPN 设备入侵某些企业的内部网络。当时,网络安全公司 SentinelOne 推测网络攻击者可能利用了一个未知安全漏洞。
一周后,Rapid7 表示除 Akira 外,Lockbit 勒索软件组织也在利用思科 VPN 设备中一个未记录的安全漏洞,但没有透露该安全漏洞的更多其它细节。事后不久,思科就发布了一份咨询警告,称上述违规行为是网络攻击者通过在未配置 MFA 的设备上强行使用凭据,才成功入侵部分公司的内部网络。
本周,思科证实存在一个被勒索软件团伙利用的零日漏洞,并在临时安全公告中提供了解决方法。不过,受影响产品的安全更新尚未发布。
漏洞详情
CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 设备的 web 服务接口内,由于未正确分离 AAA 功能和其他软件功能造成。(具有处理身份验证、授权和计费(AAA)功能的功能)。
这就导致攻击者可以向 web 服务接口发送身份验证请求以影响或破坏授权组件的情况,由于这些请求没有限制,网络攻击者能够使用无数的用户名和密码组合来强制使用凭据,从而避免受到速率限制或被阻止滥用。
要使暴力攻击奏效,Cisco 设备必须满足以下条件:
至少有一个用户在 LOCAL 数据库中配置了密码,或者 HTTPS 管理身份验证指向有效的 AAA 服务器;
至少在一个接口上启用了 SSL VPN,或者至少在一一个接口中启用了 IKEv2 VPN。
如果目标设备运行 Cisco ASA 软件 9.16 版或更早版本,在无需额外授权情况下,网络攻击者可以在成功身份验证后建立无客户端SSL VPN 会话。
要建立此无客户端 SSL VPN 会话,目标设备需要满足以下条件:
攻击者在 LOCAL 数据库或用于 HTTPS 管理身份验证的 AAA 服务器中拥有用户的有效凭据,这些证书可以使用暴力攻击技术获得;
设备正在运行 Cisco ASA 软件 9.16 版或更早版本;
至少在一个接口上启用了 SSL VPN;
DfltGrpPolicy 中允许使用无客户端 SSL VPN 协议。
如何缓解漏洞?
据悉,思科将发布安全更新以解决 CVE-2023-20269 安全漏洞问题,但在修复更新可用之前,建议系统管理员采取以下措施:
使用 DAP(动态访问策略)停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道;
通过将 DfltGrpPolicy的vpn 同时登录调整为零,并确保所有 vpn 会话配置文件都指向自定义策略,拒绝使用默认组策略进行访问;
通过使用“组锁定”选项将特定用户锁定到单个配置文件来实现 LOCAL 用户数据库限制,并通过将“VPN 同时登录”设置为零来阻止 VPN 设置。
Cisco 还建议通过将所有非默认配置文件指向 AAA 服务器(虚拟 LDAP 服务器)来保护默认远程访问 VPN 配置文件,并启用日志记录以尽早发现潜在网络攻击事件。
最后,需要注意的是,多因素身份验证(MFA)可以有效降低网络安全风险,原因是即使网络攻击者成功强制使用帐户凭据,也不足以劫持 MFA 安全帐户并使用它们建立 VPN 连接。