Вымогатели полюбили продукты компании за лёгкость компрометации корпоративных сетей.
Компания Cisco предупреждает об уязвимости нулевого дня CVE-2023-20269 в своих продуктах Adaptive Security Appliance (Cisco ASA) и Firepower Threat Defense (Cisco FTD). Эта уязвимость средней степени опасности (5 из 10 баллов по шкале CVSS) активно используется в ходе вымогательских операций для получения начального доступа к корпоративным сетям.
Уязвимость затрагивает VPN-функцию обоих продуктов и позволяет неавторизованным удалённым атакующим проводить брутфорс против существующих учётных записей. Это может привести к созданию бесклиентской SSL-VPN сессии в нарушенной корпоративной сети, последствия которой зависят от конфигурации сети жертвы.
В прошлом месяце мы сообщали , что банда вымогателей Akira проникает в корпоративные сети совершенно разных организаций в основном именно через устройства Cisco VPN. Исследователи SentinelOne тогда даже предположили, что это может быть связано с неизвестной уязвимостью. А неделю спустя компания Rapid7 сообщила , что вымогательская операция LockBit также использовала недокументированную проблему безопасности в устройствах Cisco VPN.
На этой неделе Cisco подтвердила существование 0-day уязвимости, использованной этими вымогательскими группами, и предоставила временные рекомендации в информационном бюллетене по безопасности. Однако обновления безопасности для затронутых продуктов пока не выпущены.
Уязвимость CVE-2023-20269 берёт своё начало в веб-интерфейсе устройств Cisco ASA и Cisco FTD, а именно в функциях, отвечающих за аутентификацию, авторизацию и учёт (AAA). Нарушение возникает из-за недостаточного разделения этих функций и других программных компонентов, что приводит к возможности проведения атак.
Для успешной атаки устройство Cisco должно соответствовать определённым условиям, включая наличие хотя бы одного пользователя с настроенным паролем и активированным SSL VPN или IKEv2 VPN хотя бы на одном интерфейсе.
До выпуска обновления безопасности для устранения уязвимости CVE-2023-20269 системным администраторам рекомендуется предпринять ряд действий. В числе этих рекомендаций — использование многофакторной аутентификации (MFA), которая сильно снижает риск взлома, так как одних только аутентификационных данных уже не хватит для установления VPN-соединения.
Данный инцидент служит напоминанием о том, что даже надёжные и общепризнанные программные и аппаратные решения могут содержать уязвимости, на устранение которых может уйти долгое время. Именитый бренд не обеспечивает стопроцентную защиту от компрометации, а в обеспечении по-настоящему непреступной киберобороны важен комплексный подход.
Одно найти легче, чем другое. Спойлер: это не темная материя