A Cisco deu o alarme esta semana sobre um dia zero nos softwares Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) que foram explorados em ataques de ransomware Akira desde agosto.
Rastreado como CVE-2023-20269 (pontuação CVSS de 5,0, gravidade média), o problema existe no recurso VPN de acesso remoto do Cisco ASA e FTD e pode ser explorado remotamente, sem autenticação, em ataques de força bruta.
“Essa vulnerabilidade se deve à separação inadequada de autenticação, autorização e contabilidade (AAA) entre o recurso VPN de acesso remoto e os recursos de gerenciamento HTTPS e VPN site a site”, explica a Cisco em um aviso.
Para explorar esta vulnerabilidade durante um ataque de força bruta, um invasor remoto não autenticado precisa especificar um perfil de conexão/grupo de túnel padrão, o que permitiria identificar pares válidos de nome de usuário-senha.
De acordo com a Cisco, um invasor com acesso a credenciais de usuário válidas pode explorar a falha para estabelecer uma sessão VPN SSL sem cliente com um usuário não autorizado.
A gigante da tecnologia observa que esta vulnerabilidade não pode ser explorada para estabelecer um túnel VPN de acesso remoto baseado em cliente ou para contornar a autenticação.
A vulnerabilidade é explorável em ataques de força bruta se um dispositivo afetado tiver um usuário configurado “com uma senha no banco de dados local ou pontos de autenticação de gerenciamento HTTPS para um servidor AAA válido” e se “SSL VPN estiver habilitado em pelo menos uma interface ou VPN IKEv2 está habilitado em pelo menos uma interface”.
Para estabelecer uma sessão VPN SSL sem cliente explorando esse bug, quatro condições precisam ser atendidas: o invasor precisa de credenciais válidas, o dispositivo está executando o Cisco ASA versão 9.16 ou anterior, a VPN SSL precisa estar habilitada em pelo menos uma interface e o O protocolo SSL VPN sem cliente precisa ser permitido.
Os dispositivos que executam o Cisco FTD não são suscetíveis a esse ataque, pois o FTD não oferece suporte para sessões VPN SSL sem cliente.
A empresa está trabalhando em atualizações de segurança para resolver a vulnerabilidade nos softwares Cisco ASA e FTD.
A Cisco diz que identificou a vulnerabilidade pela primeira vez no mês passado, ao investigar quais organizações foram comprometidas por meio de VPNs Cisco que não possuíam autenticação multifatorial.
“Em agosto de 2023, a equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) tomou conhecimento de uma tentativa de exploração desta vulnerabilidade em estado selvagem. A Cisco recomenda fortemente que os clientes atualizem para uma versão de software fixa para remediar esta vulnerabilidade assim que disponível e, entretanto, apliquem uma das soluções alternativas sugeridas”, observa a Cisco.
A gigante da tecnologia forneceu uma lista de indicadores de comprometimento (IoCs) para ajudar as organizações a identificar possíveis atividades maliciosas, bem como detalhes sobre como as organizações podem se proteger contra a exploração do bug por sessões VPN SSL sem cliente.