Son gelişmelerde, çok faktörlü kimlik doğrulaması (MFA) bulunmayan Cisco VPN’leri hedef alan Akira fidye yazılımı tehdit aktörlerine ilişkin raporlar ortaya çıktı.
CVE-2023-20269 olarak izlenen bu güvenlik açığı, VPN bağlantılarına yetkisiz erişime izin vererek uzaktan erişim ortamlarının güvenliğiyle ilgili endişeleri artırabilir.
Cisco, bu raporları ve VPN’lerinde MFA bulunmayan kuruluşların sızmaya karşı savunmasız olduğu gözlemlenen örnekleri kabul etmektedir.
Bu güvenlik açığı, uzaktan erişim çözümleri için Cisco ASA ve FTD yazılımına güvenen kuruluşları ciddi şekilde etkileyebilir.
MFA’nın uygulanmasının, yetkisiz erişim ve potansiyel fidye yazılımı bulaşma riskini azaltmak için önemli bir güvenlik önlemi olduğu vurgulanıyor.
Özellikle tehdit aktörleri kaba kuvvet saldırıları yoluyla VPN kimlik bilgilerine erişmeye çalıştığında ek bir koruma katmanı sağlar.
Cisco, benzer saldırı taktiklerini araştırmak için Rapid7 ile aktif olarak işbirliği yapmıştır ve değerli işbirlikleri için Rapid7’ye şükranlarını sunar.
Akira Fidye Yazılımı
Akira fidye yazılımı ilk olarak Mart 2023’te ortaya çıktı; çeşitli gasp stratejileri kullanması ve kurbanları ve çalınan verileri listelemek için TOR tabanlı bir web sitesi kurmasıyla biliniyordu.
Mağdurlar, fidye mesajlarında sağlanan benzersiz tanımlayıcıları kullanarak bu site aracılığıyla müzakereleri başlatmaya yönlendiriliyor.
Saldırganlar VPN’leri hedeflerken, MFA ve VPN yazılımındaki açık hizmetlerden ve güvenlik açıklarından yararlanır.
Daha sonra kimlik bilgilerini çıkarmaya, ayrıcalıkları yükseltmeye ve ağ içinde dönmeye çalışırlar.
Arazide Yaşayan İkili Dosyalar (LOLBins) ve Ticari Kullanıma Hazır (COTS) araçlar gibi araçların kullanımı bu tehdit grubuyla ilişkilendirilmiştir.
İki temel erişim yöntemi vurgulanmaktadır: kullanıcı adı/şifre kombinasyonlarıyla otomatik girişimleri içeren kaba kuvvet ve VPN günlüklerinde hiçbir iz bırakmayabilen karanlık ağdan kimlik bilgileri satın alma.
Etkilenen Cisco ASA cihazlarında ayrıntılı günlüklerin bulunmaması, saldırı yönteminin kesin analizini engelledi.
Doğru günlük kaydı, olayları kaydetmek ve olay korelasyonunu ve denetimini geliştirmek için siber güvenliğin hayati bir bileşenidir.
Cisco ASA kullanıcıları için, günlük kaydının ayarlanmasına ilişkin rehberlik, komut satırı arayüzü (CLI) talimatları aracılığıyla sağlanır.
Ek olarak, müdahale ekipleri kanıt toplama ve bütünlük kontrollerine ilişkin talimatlar için Cisco ASA Adli Bilimler Kılavuzu’na başvurabilir.
Cisco, bu faaliyetleri izleme ve soruşturma konusundaki kararlılığını bir kez daha teyit ederek, müşterilerini her türlü yeni bulgu veya bilgi konusunda bilgilendireceğine söz verdi.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.