Ranjivost Cisco VPN udaljenog pristupa

Dana 12. srpnja 2023. godine, Cisco je izdao obavijest adresirajući ranjivost značajke udaljenog pristupa VPN-u u Cisco Adaptive Security Appliance (ASA) softveru i Cisco Firepower Threat Defence (FTD) softveru. Ranjivost omogućava neautentificiranom udaljenom napadaču provođenje bruteforce napada kako bi identificirao valjane kombinacije korisničkog imena i lozinke, ili omogućava autentificiranom udaljenom napadaču da uspostavi SSL VPN sesiju bez klijentskog softvera s neovlaštenim korisnikom.
Nadalje, Cisco upozorava da bi ranjivost mogla biti aktivno iskorištena od strane ransomware grupa kako bi dobile inicijalni pristup korporacijskim mrežama.

Tehnički detalji ključne ranjivosti popravljene ovim ažuriranjem:
Ova ranjivost proizlazi iz nepravilnog odvajanja autentifikacije, autorizacije i evidentiranja (engl. authentication, authorisation, and accounting - AAA) između značajke udaljenog pristupa VPN-u i upravljanja HTTPS-om i značajkama VPN-a između lokacija (engl. site-to-site VPN). 
Napadač bi mogao iskoristiti ovu ranjivost specificiranjem zadane grupe (engl. connection profile/tunnel group) tijekom provođenja bruteforce napada ili dok uspostavlja SSL VPN sesiju bez klijentskog softvera koristeći ispravne vjerodajnice.

Uspješno iskorištavanje omogućilo bi napadaču postizanje jednog ili oboje od sljedećeg: 
  • Identifikacija ispravnih vjerodajnica koje bi potom mogle biti korištene za uspostavljanje neovlaštenog pristupa VPN sesiji.
  • Uspostava SSL VPN sesije bez klijentskog softvera (samo kod Cisco ASA software verzija 9.16 ili ranije).
Važno je napomenuti da:
  • Uspostava VPN tunela temeljenog na klijentu nije moguća jer zadana grupa ne može imati konfiguriran pool IP adresa.
  • Ova ranjivost ne omogućuje napadaču zaobilazak autentifikacije. Za uspješno uspostavljanje sesije VPN udaljenog pristupa, potrebne su ispravne vjerodajnice, uključujući i valjanu drugu komponentu ako je konfigurirana višefaktorska autentifikacija (MFA).
 
Pokazatelji kompromitiranosti ove ranjivosti su sljedeći:
  • Bruteforce napad: visok broj syslog poruka %ASA-6-113015, koje izvješćuju o neuspjelom pokušaju autentifikacije, može ukazivati na bruteforce napad ili napad raspršivanjem lozinki (engl. password spraying).
  • Uspostava neovlaštenih SSL VPN sesija bez klijentskog softvera: Uočavanje pokušaja uspostave sesije (syslog poruka %ASA-7-734003) ili događaja prekida sesije (syslog poruka %ASA-4-113019) koji prijavljuju korištenje jedne od navedenih neočekivanih grupa može ukazivati na uspješno ili pokušaj uspostavljanja neovlaštene SSL VPN sesije bez klijentskog softvera: DefaultADMINGroup ili DefaultL2LGroup.

Zahvaćeni proizvodi: 
Ova ranjivost zahvaća Cisco uređaje ako koriste ranjivu verziju Cisco Adaptive Security Appliance (ASA) softvera ili Cisco Firepower Threat Defence (FTD) softvera i ako su ispunjeni određeni uvjeti. Za više informacija o uvjetima preporuča se pregled Cisco sigurnosne objave.
Nadalje, Cisco potvrđuje da ova ranjivost ne utječe na sljedeće Cisco proizvode:
  • Firepower Management Center (FMC) softver;
  • FXOS softver;
  • IOS softver;
  • IOS XE softver;
  • IOS XR softver;
  • NX-OS softver.

Preporuke:
Cisco će objaviti softverske nadogradnje koje će riješiti ovu ranjivost. Dok iste ne budu dostupne, preporuča se pregled Cisco sigurnosne objave te implementacija privremenih rješenja koja su vezana uz ovu ranjivosti.
 
Privremena rješenja:
Iako ne postoji način da se potpuno spriječi pokušaj bruteforce napada, moguće je implementirati sljedeće preporuke kako bi se zaštitili od uspostave neovlaštene SSL VPN sesije bez klijenta koristeći DefaultADMINGroup ili DefaultL2LGroup zadane grupe:
  • Konfigurirajte dinamičku politiku pristupa (DAP) kako biste prekinuli uspostavu VPN tunela kada se koristi DefaultADMINGroup ili DefaultL2LGroup grupa;
  • Zabrana udaljenog pristupa VPN-a pomoću zadane grupne politike (DfltGrpPolicy);
  • Ograničite korisnike u LOCAL bazi podataka korisnika;
  • Zaključajte korisnike za određenu grupu;
  • Spriječite korisnike da uspostave sesije udaljenog pristupa VPN
 
Više informacija moguće je pročitati na poveznicama u nastavku:

 [inicijalna obavijest 12.9.2023 - 15:50]