IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

هشدار Cisco درباره استفاده از نقص روز صفر VPN آن توسط باج افزار‌ها

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir cisco warns of vpn zero day exploited by ransomware gangs
سیسکو درباره یک آسیب‌پذیری روز صفر (Zero-Day) CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار داد؛ که به طور فعال توسط عملیات‌های باج‌افزاری برای دسترسی اولیه به شبکه‌های سازمانی مورد سواستفاده قرار می‌گیرد.

آسیب‌پذیری روز صفر، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تاثیر قرار می‌دهد و به مهاجمان غیرمجاز از راه دور اجازه می‌دهد تا حملات brute force علیه حساب‌های موجود را انجام دهند.

با دسترسی به آن حساب‌ها، مهاجمان می‌توانند یک سشن SSL VPN بدون کلاینت را در شبکه سازمانی نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی می‌تواند پیامد‌های متفاوتی داشته باشد.

ماه گذشته، بلیپینگ‌کامپیوتر گزارش داد که گروه باج‌افزار Akira تقریبا به طور انحصاری از طریق دستگاه‌های Cisco VPN به شبکه‌های سازمانی نفوذ می‌کنند و شرکت امنیت سایبری SentinelOne حدس می‌زند که ممکن است این نفوذ از طریق یک آسیب‌پذیری ناشناخته باشد.

یک هفته بعد، Rapid7 گزارش داد که عملیات باج‌افزار Lockbit علاوه بر Akira، از یک مشکل امنیتی ناشناخته در دستگاه‌های VPN Cisco نیز سواستفاده کرده است. با‌این‌حال، ماهیت دقیق مشکل همچنان نامشخص بود.

در آن زمان، سیسکو یک هشدار مشورتی منتشر کرد، مبنی بر اینکه این نقض‌ها با استفاده از اعتبارنامه‌های brute forcing در دستگاه‌های بدون پیکربندی MFA (احراز هویت چندعاملی) انجام شده‌اند.

این هفته، سیسکو وجود یک آسیب‌پذیری روز صفر را تایید کرد که توسط این گروه‌های باج‌افزار استفاده می‌شد و راه‌حل‌هایی را در یک بولتن امنیتی ارائه کرد.

با‌این‌حال، بروزرسانی‌های امنیتی برای محصولات آسیب‌دیده هنوز در دسترس نیست.

جزئیات آسیب‌پذیری
‌نقص CVE-2023-20269 در اینترفیس سرویس‌های وب دستگاه‌های Cisco ASA و Cisco FTD، به‌ویژه فانکشن‌هایی که با فانکشن‌های احراز هویت، مجوز و حسابداری (AAA) سروکار دارند، وجود دارد.

این نقص به دلیل جداسازی نادرست فانکشن‌های AAA و سایر ویژگی‌های نرم‌افزار ایجاد می‌شود. این امر منجر به سناریو‌هایی می‌شود که در آن مهاجم می‌تواند درخواست‌های احراز هویت را به اینترفیس سرویس‌های وب ارسال کند تا بر کامپوننت‌های مجوز تاثیر بگذارد یا آنها را به خطر بی‌اندازد.

از آنجایی که این درخواست‌ها هیچ محدودیتی ندارند، مهاجم می‌تواند با استفاده از ترکیب‌های نام کاربری و رمز عبور بی‌شماری، بدون محدود کردن میزان آن یا خطر مسدود شدن به دلیل سواستفاده، اعتبارنامه‌ها را brute force کند.

برای اینکه حملات brute force عمل کنند، دستگاه سیسکو باید شرایط زیر را داشته باشد:

• حداقل یک کاربر با یک رمز عبور در پایگاه داده محلی پیکربندی شده باشد یا احراز هویت مدیریت HTTPS به یک سرور AAA معتبر مرتبط باشد.
• پروتکل SSL VPN حداقل روی یک اینترفیس فعال بوده یا IKEv2 VPN حداقل روی یک اینترفیس فعال باشد.

اگر دستگاه مورد نظر Cisco ASA Software Release 9.16 یا قبل از آن را اجرا کند، مهاجم می‌تواند پس از احراز هویت موفقیت‌آمیز، یک سشن SSL VPN بدون کلاینت را، بدون مجوز اضافی ایجاد کند.

برای ایجاد این سشن SSL VPN بدون کلاینت، دستگاه مورد نظر باید این شرایط را داشته باشد:

• مهاجم دارای اعتبارنامه‌های معتبر برای کاربری موجود در پایگاه داده محلی یا در سرور AAA باشد که برای احراز هویت مدیریت HTTPS استفاده می‌شود. این اعتبارنامه را می‌توان با استفاده از تکنیک‌های حمله brute force به‌دست آورد.
• دستگاه دارای Cisco ASA Software Release 9.16 یا نسخه قبلی باشد.
• پروتکل SSL VPN حداقل روی یک اینترفیس فعال باشد.
• پروتکل SSL VPN بدون کلاینت در DfltGrpPolicy مجاز باشد.

رفع نقص و کاهش خطر
‌سیسکو یک بروزرسانی امنیتی را برای آسیب‌پذیری CVE-2023-20269 منتشر خواهد کرد، اما تا زمانی که اصلاحات لازم و پچ در دسترس نباشد، به ادمین سیستم‌ها توصیه می‌شود که اقدامات زیر را انجام دهند:

• از DAP (پالیسی‌های دسترسی پویا) برای توقف تونل‌های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند.
• با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر، و اطمینان از اینکه تمام پروفایل‌های سشن VPN به یک پالیسی سفارشی اشاره می‌کنند، دسترسی به پالیسی گروه پیش‌فرض را ممنوع کنید.
• محدودیت‌های پایگاه داده کاربر LOCAL را با محدود کردن کاربران خاص در یک پروفایل با گزینه "قفل گروهی" را اعمال کنید و با صفر کردن "ورود به سیستم مجازی مجازی" (vpn-simultaneous-logins) از تنظیمات VPN جلوگیری کنید.

سیسکو همچنین توصیه می‌کند که پروفایل‌های VPN با دسترسی از راه دور پیش‌فرض را با متصل کردن تمام پروفایل‌های غیرپیش‌فرض به یک سرور AAA سینکهول (سرور LDAP ساختگی) و فعال کردن گزارش‌گیری برای شناسایی زودهنگام حملات احتمالی، ایمن‌سازی کنید.

در‌نهایت، مهم است که توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش می‌دهد، زیرا حتی brute force موفقیت‌آمیز اعتبارنامه‌ها برای سرقت حساب‌های ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.

برچسب ها: DfltGrpPolicy, web services interface, IKEv2 VPN, AAA, CVE-2023-20269, Cisco ASA SSL VPN, Akira, ASA, brute force, باج‌افزار, LockBit, Cisco Firepower Threat Defense, Cisco Adaptive Security Appliance, Cisco FTD, Cisco ASA, Session, اعتبارنامه, Credentials, Cisco, روز صفر, HTTPS, اکسپلویت‌, آسیب‌پذیری, Vulnerability, SSL VPN, ransomware , سیسکو, VPN, Cyber Security, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل