Ciberseguridad 360 | Cisco : Vulnerabilidad Zero Day afecta servicios de VPN

Cisco advierte de una vulnerabilidad zero-day en su Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) que es explotada activamente por operaciones de ransomware para obtener acceso inicial a las redes corporativas.

La vulnerabilidad zero-day de gravedad media afecta a la funci�n VPN de Cisco ASA y Cisco FTD, permitiendo a atacantes remotos no autorizados realizar ataques de fuerza bruta contra cuentas existentes.

Al acceder a esas cuentas, los atacantes pueden establecer una sesi�n VPN SSL sin cliente en la red de la organizaci�n vulnerada, lo que puede tener repercusiones variables en funci�n de la configuraci�n de red de la v�ctima.

Una semana m�s tarde, Rapid7 inform� de que la operaci�n de ransomware Lockbit tambi�n explotaba un problema de seguridad no documentado en los dispositivos VPN de Cisco, adem�s de Akira. Sin embargo, la naturaleza exacta del problema segu�a sin estar clara.

En aquel momento, Cisco public� un aviso en el que advert�a de que las brechas se hab�an llevado a cabo forzando credenciales en dispositivos sin MFA configurado.

Esta semana, Cisco confirm� la existencia de una vulnerabilidad zero-day utilizada por estas bandas de ransomware y proporcion� soluciones en un bolet�n de seguridad provisional.

Sin embargo, las actualizaciones de seguridad para los productos afectados a�n no est�n disponibles.

Detalles de la vulnerabilidad

El fallo CVE-2023-20269 se encuentra en la interfaz de servicios web de los dispositivos Cisco ASA y Cisco FTD, concretamente en las funciones que se ocupan de las funciones de autenticaci�n, autorizaci�n y contabilidad (AAA).

El fallo se debe a una separaci�n incorrecta entre las funciones AAA y otras funciones de software. Esto conduce a escenarios en los que un atacante puede enviar solicitudes de autenticaci�n a la interfaz de servicios web para afectar o comprometer los componentes de autorizaci�n.

Dado que estas peticiones no tienen limitaci�n, el atacante puede forzar credenciales utilizando innumerables combinaciones de nombre de usuario y contrase�a sin que se le limite la velocidad o se le bloquee por abuso.

Para que los ataques de fuerza bruta funcionen, el dispositivo Cisco debe cumplir las siguientes condiciones:

Al menos un usuario est� configurado con una contrase�a en la base de datos LOCAL o la autenticaci�n de gesti�n HTTPS apunta a un servidor AAA v�lido.

La VPN SSL est� habilitada en al menos una interfaz o la VPN IKEv2 est� habilitada en al menos una interfaz.

Si el dispositivo objetivo ejecuta el software Cisco ASA versi�n 9.16 o anterior, el atacante puede establecer una sesi�n VPN SSL sin cliente sin autorizaci�n adicional tras una autenticaci�n correcta.

Para establecer esta sesi�n VPN SSL sin cliente, el dispositivo de destino debe cumplir estas condiciones:

El atacante dispone de credenciales v�lidas para un usuario presente en la base de datos LOCAL o en el servidor AAA utilizado para la autenticaci�n de la gesti�n HTTPS. Estas credenciales podr�an obtenerse mediante t�cnicas de ataque de fuerza bruta.

El dispositivo ejecuta el software Cisco ASA versi�n 9.16 o anterior.

SSL VPN est� habilitado en al menos una interfaz.

El protocolo SSL VPN sin cliente est� permitido en la DfltGrpPolicy.

Mitigaci�n del fallo

Cisco publicar� una actualizaci�n de seguridad para solucionar CVE-2023-20269, pero hasta que las correcciones est�n disponibles, se recomienda a los administradores del sistema que tomen las siguientes medidas:

Utilizar DAP (Dynamic Access Policies) para detener los t�neles VPN con DefaultADMINGroup o DefaultL2LGroup.
Denegar el acceso con Default Group Policy ajustando vpn-simultaneous-logins para DfltGrpPolicy a cero, y asegur�ndose de que todos los perfiles de sesi�n VPN apuntan a una pol�tica personalizada.
Implemente restricciones LOCALES en la base de datos de usuarios bloqueando usuarios espec�ficos a un �nico perfil con la opci�n 'group-lock', y evite configuraciones VPN ajustando 'vpn-simultaneous-logins' a cero.

Cisco tambi�n recomienda asegurar los perfiles VPN de acceso remoto por defecto apuntando todos los perfiles no predeterminados a un servidor AAA sinkhole (servidor LDAP ficticio) y habilitando el registro para detectar posibles incidentes de ataque con antelaci�n.

Por �ltimo, es crucial tener en cuenta que la autenticaci�n multifactor (MFA) mitiga el riesgo, ya que incluso forzando con �xito las credenciales de la cuenta no ser�a suficiente para secuestrar cuentas protegidas por MFA y utilizarlas para establecer conexiones VPN.

Fuente: bleepingcomputer