Alvarlegur veikleiki í Cisco ASA og Firepower
Tilkynnt var um alvarlegan núlldagsveikleika í Cisco Adaptive Security Appliance (ASA) og Cisco Firepower Threat Defence (FTD) hjá Cisco [1,2]. Ekki eru komnar uppfærslur frá Cisco sem lagfæra gallann. Veikleikinn gerir ógnaraðilum kleift að framkvæma jarðýtuárásir og finna með þeim hætti gilda samsetningu notendanafna og lykilorða. Einnig getur auðkenndur ógnaraðili tengst með SSL tengingu án endabúnaðar (e. clientless SSL VPN tunnel) sem óheimill notandi (e. unauthorized user). Ef notkun tvíþátta auðkenningar (e. MFA – MultiFactor Authentication) er virk og framfylgt (e. enforced) virka ekki þessar árásaraðferðir. Einnig þurfa ákveðin skilyrði að vera til staðar í báðum tilfellum og seinni aðferðin gildir eingöngu um útgáfu 9.16 af Cisco ASA hugbúnað (e. Software Release). CERT-IS mælir með að útfæra mótvægisaðgerðir samkvæmt ráðleggingum frá Cisco án tafa [3] og fylgjast með frekari upplýsingum frá Cisco. Einnig að skoða ummerki um að veikleikarnir hafi verið misnotaðir og skipta út lykilorðum þeirra notenda sem hafa lekið eða að öðrum kosti fara í útskiptingu allra lykilorða sem gætu verið í hættu.
Vitað er að margvíslegir ógnarhópar á við Akira og Lockbit eru þegar að misnota veikleikann.
Alvarlegir veikleikar
CVE-2023-20269
Veikleikinn er með CVSSv3 einkunn upp á 5.0 og kemur til vegna galla í því hvernig skilið er á milli auðkenningar, heimildargjafar og skráningar (e. authentication, authorization and accounting (AAA)) á milli mismunandi eininga í búnaðinum.
Mótvægisaðgerðir
Mótvægisaðgerðir og ráðleggingar
Cisco hefur gefið út leiðbeiningar sem koma í veg fyrir að veikleikinn sé misnotaður [3]. Virkjun á tvíþátta auðkenningu er mikilvægasta vörnin og einnig koma fram leiðbeiningar um virkjun á annálum (e. logging), rýni á stillingum á notendum og hópastillingum og öðrum þáttum fyrir VPN. Einnig koma fram vísar og aðferðir til að greina misnotkun á veikleikanum.
Tilvísanir:
[1] https://www.helpnetsecurity.com/2023/09/08/cve-2023-20269/
[2] https://www.bleepingcomputer.com/news/security/cisco-warns-of-vpn-zero-day-exploited-by-ransomware-gangs/
[3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC