警告!思科设备VPN零日漏洞被勒索软件团伙利用

近日思科警告称,其思科自适应安全设备 (ASA) 和思科 Firepower 威胁防御 (FTD) 中存在 CVE-2023-20269 零日漏洞,勒索软件团伙会积极利用该漏洞来获取对企业网络的初始访问权限。

这个中等严重性的零日漏洞影响 Cisco ASA 和 Cisco FTD 的 VPN 功能,允许未经授权的远程攻击者对现有帐户进行暴力破解攻击。

通过访问这些帐户,攻击者可以在受攻击组织的网络中建立无客户端 SSL VPN 会话,这可能会产生不同的影响,具体取决于受害者的网络配置。

上个月的报道显示Akira 勒索软件团伙几乎完全通过思科VPN设备入侵企业网络,据推测这可能是通过未知漏洞进行的。

一周后的报告显示,除了Akira之外,Lockbit勒索软件团伙还利用了思科VPN设备中未记录的安全问题。然而,这个问题的确切性质仍不清楚。

当时,思科发布了一份安全通报,称这些违规行为是在未配置MFA的设备上通过暴力破解凭证造成的。

本周,思科确认了这些勒索软件团伙利用的零日漏洞的存在,并在临时安全公告中提供了解决方法。

然而受影响产品的安全更新尚不可用。

 

▍漏洞详情

CVE-2023-20269 缺陷位于思科ASA和思科FTD设备的Web服务接口内,特别是处理身份验证、授权和计费 (AAA) 功能的功能。

该缺陷是由于AAA功能和其他软件功能的不正确分离造成的。这会导致攻击者可以向 Web 服务接口发送身份验证请求以影响或破坏授权组件。

由于这些请求没有受到限制,攻击者可以使用无数的用户名和密码组合来暴力破解凭证,并且不会受到速率限制或滥用阻止。

为了使暴力破解攻击起作用,思科设备必须满足以下条件:

  1. 至少一个用户在本地数据库中配置了密码, 或者 指向有效的 AAA 服务器的 HTTPS 管理身份验证。
  2. 至少1个接口启用SSL VPN 或 至少1个接口启用IKEv2 VPN。
  3. 如果目标设备运行思科ASA软件版本9.16或更早版本,那么攻击者可以在身份验证成功后建立无客户端 SSL VPN 会话,无需额外授权。

要建立此无客户端SSL VPN会话,目标设备需要满足以下条件:

  1. 攻击者拥有本地数据库或用于HTTPS管理身份验证的AAA服务器中存在的用户的有效凭证。这些凭证可以使用暴力破解攻击技术获得。
  2. 该设备运行 Cisco ASA 软件版本 9.16 或更早版本。
  3. 至少在一个接口上启 SSL VPN。
  4. DfltGrpPolicy中允许使用无客户端SSL VPN 协议 。

▍缓解建议

思科将发布安全更新来解决CVE-2023-20269,但在修复可用之前,建议系统管理员采取以下操作:

  1. 使用 DAP(动态访问策略)通过DefaultADMINGroup或DefaultL2LGroup停止VPN隧道。
  2. 通过将 DfltGrpPolicy 的 vpn-simultaneous-logins 调整为零,并确保所有 VPN 会话配置文件都指向自定义策略,使用默认组策略拒绝访问。
  3. 通过使用“组锁定”选项将特定用户锁定到单个配置文件来实施本地用户数据库限制,并通过将“vpn-simultaneous-logins”设置为零来防止VPN设置。

思科还建议通过将所有非默认配置文件指向 Sinkhole AAA 服务器(虚拟 LDAP 服务器)并启用日志记录以尽早捕获潜在的攻击事件来保护默认远程访问 VPN 配置文件。

最后需要注意的是,多重身份验证 (MFA) 可以降低风险,因为即使成功暴力破解帐户凭证也不足以劫持受MFA保护的帐户并使用它们建立VPN连接。

塞讯模拟攻击库已包含此零日漏洞,您可以在塞讯安全度量验证平台中搜索关键词“CVE-2023-20269”获取相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对勒索软件对该漏洞的利用。您还可以在塞讯安全度量验证平台中搜索关键词“Akira”获取与此勒索团伙相关的攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该勒索团伙所有的攻击手法。