سیسکو درباره یک آسیبپذیری روز صفر CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار میدهد که به طور فعال توسط عملیات باجافزار برای دسترسی اولیه به شبکههای شرکتی اکسپلویت شده است.
آسیب پذیری روز صفر با شناسه CVE-2023-20269 و شدت متوسط، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تأثیر قرار میدهد و به مهاجمان غیرمجاز از راه دور اجازه میدهد تا حملات brute force علیه حسابهای موجود انجام دهند. مهاجمان با دسترسی به حساب ها میتوانند یک جلسه SSL VPN بدون کلاینت را در شبکه سازمان نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی میتواند پیامدهای متفاوتی داشته باشد.
این آسیب پذیری در رابط خدمات وب دستگاه های Cisco ASA وCisco FTD، به ویژه عملکردهایی که با توابع احراز هویت، مجوز و حسابداری (AAA) مرتبط هستند، قرار دارد. آسیب پذیری به دلیل جداسازی نادرست عملکردهای AAA و سایر ویژگی های نرم افزار ایجاد می شود و منجر به سناریوهایی میشود که در آن مهاجم می تواند درخواستهای تایید هویت را به رابط خدمات وب ارسال کند تا بر مؤلفههای مجوز تأثیر بگذارد یا آنها را به خطر بیاندازد.
از آنجایی که این درخواستها هیچ محدودیتی ندارند، مهاجم میتواند با استفاده از ترکیبهای نام کاربری و رمز عبور بیشماری، بدون محدود کردن نرخ یا مسدود شدن برای اکسپلویت آسیب پذیری ها، اعتبارنامههای اجباری را اکسپلویت کند.
سیسکو یک بهروزرسانی امنیتی را برای آسیب پذیری CVE-2023-20269 منتشر میکند، اما تا زمانی که اصلاحات در دسترس نباشد، به مدیران سیستم توصیه میکند از DAP (سیاست های دسترسی پویا) برای متوقف کردن تونل های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند. با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر و اطمینان از اینکه تمام نمایه های جلسه VPN به یک خط مشی سفارشی اشاره می کنند، دسترسی را با خط مشی پیش فرض گروه مسدود کنند. محدودیتهای پایگاه داده کاربر محلی را، با قفل کردن کاربران خاص در یک نمایه، با گزینه قفل گروهی اعمال کنند و با صفر کردن ورودی های مجازی vpn از تنظیمات VPN جلوگیری کنند. سیسکو همچنین توصیه میکند که پروفایلهای VPN با دسترسی از راه دور پیشفرض را با نشان دادن تمام پروفایلهای غیرپیشفرض، به یک سرور AAA حفرهای (سرور LDAP ساختگی) و فعال کردن گزارشگیری برای شناسایی زودهنگام حملات احتمالی، ایمن کنند.
در نهایت، به این نکته توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش میدهد، زیرا حتی اعتبارنامههای اجباری حساب با موفقیت برای ربودن حسابهای ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.
منابع خبر