Компания Cisco предупреждаето нулевой уязвимости CVE-2023-20269в своих продуктах Adaptive Security Appliance (Cisco ASA) и Firepower Threat Defense (Cisco FTD). Эта уязвимость средней степени опасности активно используется операциями с рэнсомваром для получения начального доступа к корпоративным сетям.
Уязвимость затрагивает ” data-html=”true” data-original-title=”VPN” >VPN-функцию обоих продуктов и позволяет неавторизованным удалённым атакующим проводить брутфорс против существующих учётных записей. Это может привести к созданию бесклиентской SSL-VPN сессии в нарушенной корпоративной сети, последствия которой зависят от конфигурации сети жертвы.
В прошлом месяце мы сообщали , что банда вымогателей Akira проникает в корпоративные сети совершенно разных организаций в основном именно через устройства Cisco VPN. Исследователи SentinelOne тогда даже предположили, что это может быть связано с неизвестной уязвимостью. А неделю спустя компания Rapid7 сообщила , что вымогательская операция LockBit также использовала недокументированную проблему безопасности в устройствах Cisco VPN.
На этой неделе Cisco подтвердила существование нулевой уязвимости, использованной этими вымогательскими группами, и предоставила временные рекомендации в информационном бюллетене по безопасности. Однако обновления безопасности для затронутых продуктов пока не выпущены.
Уязвимость CVE-2023-20269 берёт своё начало в веб-интерфейсе устройств Cisco ASA и Cisco FTD, а именно в функциях, отвечающих за аутентификацию, авторизацию и учёт (
AAA состоит из трёх процессов:
• Аутентификация (authentication) – это проверка личности пользователя, который пытается получить доступ к сети или сетевому устройству. Обычно для этого используются логин и пароль, но могут быть и другие методы, такие как сертификаты, смарт-карты или биометрия.
• Авторизация (authorization) – это определение прав и ограничений пользователя в сети. Например, какие ресурсы он может использовать, какие команды он может выполнять, какие данные он может видеть и т.д.
• Учёт (accounting) – это запись и отслеживание информации о действиях пользователя в сети. Например, когда и сколько времени он был подключен, сколько трафика он передал или получил, какие ресурсы он использовал и т.д.
Для реализации AAA в сетях обычно используются специальные серверы доступа, которые обрабатывают запросы от сетевых устройств или клиентов.