警告!思科 VPN 漏洞或被勒索软件利用

一颗小胡椒2023-09-12 08:48:45

Bleeping Computer 网站披露,思科自适应安全设备(Cisco Adaptive Security Appliance,ASA)和思科威胁防御系统(Cisco Firepower Threat Defense,FTD)中存在一个漏洞(CVE-2023-20269 ),勒索软件组织正在利用该漏洞对部分企业内部网络进行初始化访问。

CVE-2023-20269 漏洞主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能,允许未经授权的远程网络攻击者对用户现有账户进行暴力攻击,网络攻击者通过访问帐户,可以在被破坏公司的网络中建立无客户端 SSL VPN 会话。

值得一提的是,上个月,Bleeping Computer 曾报道称 Akira 勒索软件组织已开始通过思科 VPN 设备入侵某些企业的内部网络。当时,网络安全公司 SentinelOne 推测网络攻击者可能利用了一个未知安全漏洞。

一周后,Rapid7 表示除 Akira 外,Lockbit 勒索软件组织也在利用思科 VPN 设备中一个未记录的安全漏洞,但没有透露该安全漏洞的更多其它细节。事后不久,思科就发布了一份咨询警告,称上述违规行为是网络攻击者通过在未配置 MFA 的设备上强行使用凭据,才成功入侵部分公司的内部网络。

本周,思科证实存在一个被勒索软件团伙利用的零日漏洞,并在临时安全公告中提供了解决方法。不过,受影响产品的安全更新尚未发布。

漏洞详情

CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 设备的 web 服务接口内,由于未正确分离 AAA 功能和其他软件功能造成。(具有处理身份验证、授权和计费(AAA)功能的功能)。

这就导致攻击者可以向 web 服务接口发送身份验证请求以影响或破坏授权组件的情况,由于这些请求没有限制,网络攻击者能够使用无数的用户名和密码组合来强制使用凭据,从而避免受到速率限制或被阻止滥用。

要使暴力攻击奏效,Cisco 设备必须满足以下条件:

至少有一个用户在 LOCAL 数据库中配置了密码,或者 HTTPS 管理身份验证指向有效的 AAA 服务器;
至少在一个接口上启用了 SSL VPN,或者至少在一一个接口中启用了 IKEv2 VPN。

如果目标设备运行 Cisco ASA 软件 9.16 版或更早版本,在无需额外授权情况下,网络攻击者可以在成功身份验证后建立无客户端SSL VPN 会话。

要建立此无客户端 SSL VPN 会话,目标设备需要满足以下条件:

攻击者在 LOCAL 数据库或用于 HTTPS 管理身份验证的 AAA 服务器中拥有用户的有效凭据,这些证书可以使用暴力攻击技术获得;
设备正在运行 Cisco ASA 软件 9.16 版或更早版本;
至少在一个接口上启用了 SSL VPN;
DfltGrpPolicy 中允许使用无客户端 SSL VPN 协议。

如何缓解漏洞?

据悉,思科将发布安全更新以解决 CVE-2023-20269 安全漏洞问题,但在修复更新可用之前,建议系统管理员采取以下措施:

使用 DAP(动态访问策略)停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道;
通过将 DfltGrpPolicy的vpn 同时登录调整为零,并确保所有 vpn 会话配置文件都指向自定义策略,拒绝使用默认组策略进行访问;
通过使用“组锁定”选项将特定用户锁定到单个配置文件来实现 LOCAL 用户数据库限制,并通过将“VPN 同时登录”设置为零来阻止 VPN 设置。
Cisco 还建议通过将所有非默认配置文件指向 AAA 服务器(虚拟 LDAP 服务器)来保护默认远程访问 VPN 配置文件,并启用日志记录以尽早发现潜在网络攻击事件。

最后,需要注意的是,多因素身份验证(MFA)可以有效降低网络安全风险,原因是即使网络攻击者成功强制使用帐户凭据,也不足以劫持 MFA 安全帐户并使用它们建立 VPN 连接。

思科vpn
本作品采用《CC 协议》,转载必须注明作者和本文链接
Bleeping Computer 网站披露,思科自适应安全设备(Cisco Adaptive Security Appliance,ASA)和思科威胁防御系统(Cisco Firepower Threat Defense,FTD)中存在一个漏洞(CVE-2023-20269 ),勒索软件组织正在利用该漏洞对部分企业内部网络进行初始化访问。
近日,思科修复了一组影响小型企业 VPN 路由器的关键漏洞,该组漏洞允许未经身份验证的攻击者在易受攻击设备上执行任意代码或指令。上述漏洞由 IoT Inspector 研究实验室、Chaitin 安全研究实验室和 CLP 团队的安全研究人员发现。
未经身份验证的远程攻击者可能会利用这些漏洞,以易受攻击的设备为根执行任意代码。“Cisco Small Business RV160,RV160W,RV260,RV260P和RV260W VPN路由器的基于Web的管理界面中的多个漏洞可能允许未经身份验证的远程攻击者以root用户的身份在受影响的设备上执行任意代码。”这些漏洞之所以存在,是因为未正确验证HTTP请求。好消息是,思科产品安全事件响应团队没有意识到利用上述漏洞进行的攻击。
思科于2024年3月6日修复了思科安全客户端VPN应用程序中的关键安全漏洞。立即更新以保护您的VPN连接免遭凭证盗窃、未经授权的访问和潜在的代码执行。该通报还详细介绍了思科小型企业无线接入点中未修补的缺陷。
思科企业网络上成功站稳脚跟后,“阎罗王”团伙开始横向移动至Citrix服务器和域控制器。在随后几周内,“阎罗王”团伙仍多次尝试重夺访问权限。思科系统并未被部署勒索软件思科公司强调,尽管“阎罗王”团伙向来以加密锁定受害者文件而闻名,但此次攻击过程并未出现涉及勒索软件载荷的证据。“阎罗王”团伙近期还表示成功入侵了美国零售巨头沃尔玛的系统,但遭到受害者的明确否认。
对于关注网络安全的人来说,漏洞并不陌生,我们都知道漏洞是由于软件或是硬件中所存在的缺陷,以及系统中的安全策略不足所导致的,一些漏洞的存在可能会导致,系统遭受到网络黑客的攻击和破坏。对于这些存在的漏洞,一旦被发现了,那么就需要进行及时的修复。近段时间,思科就对VPN路由器中的关键漏洞进行了修复。
在过去几个月,感染了遍布54个国家的超过500,000台路由器和NAS设备的VPNFilter恶意软件所造成的影响要比想象中的严重得多。思科Talos安全团队近日发布的新技术研究的细节表明,起初研究人员认为这款恶意软件只能够感染Linksys,MikroTik,Netgear,TP-Link和QNAP的设备,不过事实是其还可以感染华硕,D-Link,华为,Ubiquiti,UPVEL和中兴的设备
一、发展动向热讯 1、中央解密《党委(党组)网络安全工作责任制实施办法》 8月4日,《人民日报》头版发布《中国共产党党内法规体系》一文。与此同时,《中国共产党党内法规汇编》由法律出版社公开出版发行,该书正式解密公开了《党委(党组)网络安全工作责任制实施办法》(以下简称“《实施办法》”)。《实施办法》作为《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规,它的公开发布将对厘清网络安全责任
一、发展动向热讯
近日,网络设备巨头思科已经推出补丁来解决影响其小型企业 VPN 路由器的关键漏洞,远程攻击者可能会滥用这些漏洞来执行任意代码,甚至导致 拒绝服务 (DoS) 条件。
一颗小胡椒
暂无描述