Cisco, Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense’de (FTD), kurumsal ağlara ilk erişim sağlamak için fidye yazılımı operasyonları tarafından aktif olarak kullanılan bir sıfır gün güvenlik açığı konusunda uyarıyor.
Orta şiddetteki sıfır gün güvenlik açığı, Cisco ASA ve Cisco FTD’nin VPN özelliğini etkileyerek, yetkisiz uzak saldırganların mevcut hesaplara kaba kuvvet saldırıları gerçekleştirmesine olanak tanıyor.
Saldırganlar, bu hesaplara erişerek, ihlal edilen kuruluşun ağında, kurbanın ağ yapılandırmasına bağlı olarak değişen sonuçlar doğurabilecek, istemcisiz bir SSL VPN oturumu oluşturabilir.
Geçen ay BleepingComputer, Akira fidye yazılımı çetesinin neredeyse yalnızca Cisco VPN cihazları aracılığıyla kurumsal ağlara sızdığını bildirdi; siber güvenlik firması SentinelOne bunun bilinmeyen bir güvenlik açığı nedeniyle olabileceğini tahmin etti.
Bir hafta sonra Rapid7, Lockbit fidye yazılımı operasyonunun Akira’ya ek olarak Cisco VPN cihazlarındaki belgelenmemiş bir güvenlik sorunundan da yararlandığını bildirdi. Ancak sorunun kesin niteliği hala belirsizliğini koruyor.
O dönemde Cisco, ihlallerin MFA yapılandırılmamış cihazlarda kaba zorlama kimlik bilgileri kullanılarak gerçekleştirildiğine dair bir tavsiye niteliğinde uyarı yayınladı.
Bu hafta Cisco, bu fidye yazılımı çeteleri tarafından kullanılan bir sıfır gün güvenlik açığının varlığını doğruladı ve geçici bir güvenlik bülteninde geçici çözümler sundu.
Ancak etkilenen ürünlere yönelik güvenlik güncellemeleri henüz mevcut değil.
Güvenlik açığı ayrıntıları
CVE-2023-20269 kusuru, Cisco ASA ve Cisco FTD cihazlarının web hizmetleri arayüzünde, özellikle de kimlik doğrulama, yetkilendirme ve muhasebe (AAA) işlevleriyle ilgilenen işlevlerde bulunuyor.
Kusur, AAA işlevlerinin ve diğer yazılım özelliklerinin hatalı şekilde ayrılmasından kaynaklanmaktadır. Bu, bir saldırganın, yetkilendirme bileşenlerini etkilemek veya tehlikeye atmak için web hizmetleri arayüzüne kimlik doğrulama istekleri gönderebileceği senaryolara yol açar.
Bu isteklerin herhangi bir sınırlaması olmadığından, saldırgan, hız sınırlaması olmaksızın veya kötüye kullanım nedeniyle engellenmeden, sayısız kullanıcı adı ve şifre kombinasyonunu kullanarak kimlik bilgilerine kaba kuvvet uygulayabilir.
Kaba kuvvet saldırılarının işe yaraması için Cisco cihazının aşağıdaki koşulları karşılaması gerekir:
- LOCAL veritabanında en az bir kullanıcı parolayla yapılandırılmıştır veya HTTPS yönetimi kimlik doğrulaması geçerli bir AAA sunucusuna işaret eder.
- SSL VPN en az bir arayüzde etkin veya IKEv2 VPN en az bir arayüzde etkindir.
Hedeflenen cihaz Cisco ASA Yazılım Sürümü 9.16 veya önceki bir sürümü çalıştırıyorsa saldırgan, başarılı kimlik doğrulamanın ardından ek yetkilendirmeye gerek kalmadan istemcisiz bir SSL VPN oturumu kurabilir.
Bu istemcisiz SSL VPN oturumunu oluşturmak için hedeflenen cihazın şu koşulları karşılaması gerekir:
- Saldırganın, LOCAL veritabanında bulunan bir kullanıcı için geçerli kimlik bilgileri vardır. veya HTTPS yönetimi kimlik doğrulaması için kullanılan AAA sunucusunda. Bu kimlik bilgileri kaba kuvvet saldırı teknikleri kullanılarak elde edilebilir.
- Cihaz, Cisco ASA Yazılım Sürümü 9.16 veya daha önceki bir sürümü çalıştırıyor.
- SSL VPN en az bir arayüzde etkindir.
- İstemcisiz SSL VPN protokolüne şu adreste izin verilir: DfltGrpPolicy.
Kusuru hafifletmek
Cisco, CVE-2023-20269’u ele alan bir güvenlik güncellemesi yayınlayacak ancak düzeltmeler sunulana kadar sistem yöneticilerinin aşağıdaki eylemleri gerçekleştirmesi önerilir:
- DefaultADMINGroup veya DefaultL2LGroup ile VPN tünellerini durdurmak için DAP’yi (Dinamik Erişim İlkeleri) kullanın.
- DfltGrpPolicy için vpn-simultaneous-logins’i sıfıra ayarlayarak ve tüm VPN oturum profillerinin özel bir politikaya işaret etmesini sağlayarak Varsayılan Grup İlkesi ile erişimi reddedin.
- ‘Grup kilitleme’ seçeneğiyle belirli kullanıcıları tek bir profile kilitleyerek YEREL kullanıcı veritabanı kısıtlamaları uygulayın ve ‘vpn-eş zamanlı oturum açma’ seçeneğini sıfıra ayarlayarak VPN kurulumlarını önleyin.
Cisco ayrıca, varsayılan olmayan tüm profilleri bir çukur AAA sunucusuna (sahte LDAP sunucusu) yönlendirerek ve olası saldırı olaylarını erken yakalamak için günlük kaydının etkinleştirilmesi yoluyla Varsayılan Uzaktan Erişim VPN profillerinin güvenliğini sağlamanızı önerir.
Son olarak, çok faktörlü kimlik doğrulamanın (MFA) riski azalttığını unutmamak çok önemlidir; çünkü hesap kimlik bilgilerinin başarılı bir şekilde kaba kuvvetle uygulanması bile MFA güvenliğine sahip hesapların ele geçirilmesi ve bunları VPN bağlantıları kurmak için kullanmak için yeterli olmayacaktır.