Cisco met en garde contre une vulnérabilité Zero Day dans son Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD), qui est activement exploitée par des opérations de ransomware pour obtenir un accès initial aux réseaux d’entreprise.
La vulnérabilité Zero Day de gravité moyenne affecte la fonctionnalité VPN de Cisco ASA et Cisco FTD, permettant à des attaquants distants non autorisés de mener des attaques par force brute contre des comptes existants.
En accédant à ces comptes, les attaquants peuvent établir une session VPN SSL sans client sur le réseau de l’organisation attaquée, ce qui peut avoir des répercussions variables selon la configuration réseau de la victime.
Le mois dernier, Breachtrace a signalé que le gang du ransomware Akira pénétrait les réseaux d’entreprise presque exclusivement via des appareils VPN Cisco, la société de cybersécurité SentinelOne spéculant que cela pourrait être dû à une vulnérabilité inconnue.
Une semaine plus tard, Rapid7 a signalé que l’opération du ransomware Lockbit exploitait également un problème de sécurité non documenté dans les appareils VPN Cisco en plus d’Akira. Cependant, la nature exacte du problème reste floue.
À l’époque, Cisco avait publié un avertissement indiquant que les violations avaient été commises en forçant brutalement des informations d’identification sur des appareils sans MFA configuré.
Cette semaine, Cisco a confirmé l’existence d’une vulnérabilité zero-day utilisée par ces gangs de ransomwares et a fourni des solutions de contournement dans un bulletin de sécurité intermédiaire.
Cependant, les mises à jour de sécurité pour les produits concernés ne sont pas encore disponibles.
Détails de la vulnérabilité
La faille CVE-2023-20269 est localisée dans l’interface des services Web des appareils Cisco ASA et Cisco FTD, en particulier dans les fonctions qui traitent des fonctions d’authentification, d’autorisation et de comptabilité (AAA).
La faille est due à une séparation incorrecte des fonctions AAA et des autres fonctionnalités du logiciel. Cela conduit à des scénarios dans lesquels un attaquant peut envoyer des demandes d’authentification à l’interface des services Web pour impacter ou compromettre les composants d’autorisation.
Étant donné que ces requêtes n’ont aucune limitation, l’attaquant peut forcer brutalement les informations d’identification en utilisant d’innombrables combinaisons de nom d’utilisateur et de mot de passe sans être limité en débit ou bloqué pour abus.
Pour que les attaques par force brute fonctionnent, l’appliance Cisco doit remplir les conditions suivantes :
- Au moins un utilisateur est configuré avec un mot de passe dans la base de données LOCAL ou des points d’authentification de gestion HTTPS vers un serveur AAA valide.
- Le VPN SSL est activé sur au moins une interface ou le VPN IKEv2 est activé sur au moins une interface.
Si le périphérique ciblé exécute le logiciel Cisco ASA version 9.16 ou antérieure, l’attaquant peut établir une session VPN SSL sans client sans autorisation supplémentaire une fois l’authentification réussie.
Pour établir cette session VPN SSL sans client, l’appareil ciblé doit remplir ces conditions :
- L’attaquant dispose d’informations d’identification valides pour un utilisateur présent soit dans la base de données LOCAL, soit dans le serveur AAA utilisé pour l’authentification de gestion HTTPS. Ces informations d’identification pourraient être obtenues à l’aide de techniques d’attaque par force brute.
- L’appareil exécute le logiciel Cisco ASA version 9.16 ou antérieure.
- Le VPN SSL est activé sur au moins une interface.
- Le protocole VPN SSL sans client est autorisé dans DfltGrpPolicy.
Atténuer la faille
Cisco publiera une mise à jour de sécurité pour résoudre le problème CVE-2023-20269, mais jusqu’à ce que les correctifs soient disponibles, il est recommandé aux administrateurs système de prendre les mesures suivantes :
- Utilisez DAP (Dynamic Access Policy) pour arrêter les tunnels VPN avec DefaultADMINGroup ou DefaultL2LGroup.
- Refusez l’accès avec la stratégie de groupe par défaut en ajustant les connexions VPN simultanées pour DfltGrpPolicy à zéro et en vous assurant que tous les profils de session VPN pointent vers une stratégie personnalisée.
- Implémentez des restrictions de base de données d’utilisateurs LOCAL en verrouillant des utilisateurs spécifiques sur un seul profil avec l’option « group-lock » et empêchez les configurations VPN en définissant « vpn-simultaneous-logins » sur zéro.
Cisco recommande également de sécuriser les profils VPN d’accès à distance par défaut en pointant tous les profils autres que ceux par défaut vers un serveur AAA gouffre (serveur LDAP factice) et en activant la journalisation pour détecter rapidement les incidents d’attaque potentiels.
Enfin, il est crucial de noter que l’authentification multifacteur (MFA) atténue le risque, car même le forçage brutal des informations d’identification de compte ne suffirait pas pour détourner les comptes sécurisés par MFA et les utiliser pour établir des connexions VPN.