Están apuntando a vulnerabilidades para las cuales se han puesto parches disponibles en 2020 y 2023. «Pero el problema es que nadie tiene una visibilidad completa de qué exploits existen realmente», añadió, y recomendó a los administradores que actualicen a la última versión de ASA en todos los dispositivos que tengan la función AnyConnect SSL VPN habilitada en la interfaz del dispositivo (expuesta a Internet).
Viejas vulnerabilidades acechan a muchas organizaciones
Los dispositivos Cisco ASA se implementan ampliamente en organizaciones de todos los tamaños y regularmente son atacados por atacantes ( incluidos grupos de ransomware ) a través de vulnerabilidades sin parches, relleno de credenciales y ataques dirigidos de fuerza bruta.
Los PoC para vulnerabilidades parcheadas aparecen a menudo, lo que facilita el trabajo de los atacantes, pero también están creando sus propios exploits o comprándolos en algún lugar: los investigadores de Truesec han señalado recientemente la probable ( pero no definitivamente confirmada ) explotación de CVE-2020 por parte de Akira. 3259, del cual no se conoce ningún exploit público.
Y aunque los atacantes aprovecharon un exploit para CVE-2020-3580, una vulnerabilidad de secuencias de comandos entre sitios (XSS) que afecta a los dispositivos Cisco ASA y FTD, en 2021, los grupos de ransomware obviamente esperan que muchas organizaciones tarden MUY lentamente en parchear.
“Acabo de estar analizando datos de GreyNoise y otras empresas. Ha habido un aumento significativo en el escaneo de dispositivos Cisco AnyConnect VPN”, señaló Beaumont también el miércoles.
«El 95% de las IP que lo hacen están etiquetadas como maliciosas, no como investigadores o motores de búsqueda de IoT», añadió. «Muchas IP se superponen con la explotación de CitrixBleed hace unos meses por parte de grupos de ransomware».
Así que ya estás advertido: consigue un parche (si aún no lo has hecho) o corre el riesgo de que te paguen un rescate.
Fuente y redacción: Zeljka Zorz / helpnetsecurity.com
