Día cero

Cisco advierte que los grupos de ransomware explotan activamente una vulnerabilidad de día cero (CVE-2023-20269) en Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) para obtener acceso inicial a las redes corporativas.

Un atacante remoto no autenticado puede aprovechar la vulnerabilidad para realizar un ataque de fuerza bruta en un intento de identificar combinaciones válidas de nombre de usuario y contraseña o un atacante remoto autenticado para establecer una sesión VPN SSL sin cliente con un usuario no autorizado.

«Esta vulnerabilidad se debe a una separación inadecuada de autenticación, autorización y contabilidad (AAA) entre la función VPN de acceso remoto y las funciones de administración HTTPS y VPN de sitio a sitio. Un atacante podría explotar esta vulnerabilidad especificando un perfil de conexión/grupo de túnel predeterminado mientras realiza un ataque de fuerza bruta o mientras establece una sesión VPN SSL sin cliente utilizando credenciales válidas».

«Un exploit exitoso podría permitir al atacante lograr uno o ambos de los siguientes:

 Identificar credenciales válidas que luego podrían usarse para establecer una sesión VPN de acceso remoto no autorizada.
 Establecer una sesión VPN SSL sin cliente (solo cuando ejecute la versión 9.16 del software Cisco ASA o anterior)".

La compañía explicó que la vulnerabilidad de día cero fue explotada por grupos de ransomware, como la banda de ransomware Akira, para apuntar a organizaciones.

A finales de agosto, Cisco reveló que estaba al tanto de los ataques realizados por los actores de amenazas de ransomware Akira dirigidos a VPN de Cisco ASA que no están configuradas para la autenticación multifactor.

Cisco ha estado investigando activamente la campaña de piratería. Investigadores han observado una mayor actividad de amenazas dirigida a dispositivos Cisco ASA SSL VPN que se remonta al menos a marzo de 2023.

Los actores de amenazas están llevando a cabo ataques de fuerza bruta y relleno de credenciales dirigidos a VPN SSL de Cisco ASA (Adaptive Security Appliance).

El ransomware Akira ha estado activo desde marzo de 2023; los actores de amenazas detrás del malware afirman haber pirateado varias organizaciones en múltiples industrias, incluidas la educación, las finanzas y el sector inmobiliario. Al igual que otras bandas de ransomware, el grupo ha desarrollado un cifrador de Linux para apuntar a servidores VMware ESXi.

El grupo ahora apunta a los productos VPN de Cisco para obtener acceso inicial a las redes corporativas.

Los investigadores de Sophos observaron en mayo que el actor de amenazas utilizaba cuentas VPN de Cisco comprometidas para violar las redes de destino.

Bleeping Computer informó la información compartida por el respondedor del incidente como «Aura» en Twitter. Aura confirmó que los actores de amenazas se dirigieron a organizaciones que utilizan dispositivos CISCO VPN sin MFA habilitado.

BleepingComputer también informó que SentinelOne está investigando la posibilidad de que el grupo de ransomware Akira esté explotando una vulnerabilidad desconocida en el software VPN de Cisco.

Cisco aún tiene que abordar CVE-2023-20269, a la espera de una solución que la compañía recomienda:

     Utilice la política de acceso dinámico (DAP) para finalizar el establecimiento del túnel VPN cuando se utiliza el grupo de túnel/perfil de conexión DefaultADMINGroup o DefaultL2LGroup.

     Denegar acceso remoto a VPN mediante la política de grupo predeterminada (DfltGrpPolicy). Cuando no se espera que DfltGrpPolicy se utilice para la asignación de políticas de VPN de acceso remoto, los administradores pueden evitar el establecimiento de una sesión de VPN de acceso remoto utilizando los perfiles de conexión/grupos de túneles DefaultADMINGroup o DefaultL2LGroup configurando la opción vpn-simultaneous-logins para DfltGrpPolicy en cero.

     Restringir usuarios en la base de datos de usuarios LOCAL.

     Bloquear usuarios solo a un perfil de conexión/grupo de túnel específico.

     Evitar que los usuarios establezcan sesiones VPN de acceso remoto.

Fuente y redacción: underc0de.org

Compartir