丁香五月激情综合国产,国产亚洲精品美女久久久m,国产亚洲av在线,国产成人综合野草

全國(guó)咨詢(xún)電話(huà)

02389108633

關(guān)注官方微信

警告!思科 VPN 漏洞或被勒索軟件利用

Bleeping Computer 網(wǎng)站披露,思科自適應(yīng)安全設(shè)備(Cisco Adaptive Security Appliance,ASA)和思科威脅防御系統(tǒng)(Cisco Firepower Threat Defense,F(xiàn)TD)中存在一個(gè)漏洞(CVE-2023-20269 ),勒索軟件組織正在利用該漏洞對(duì)部分企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行初始化訪(fǎng)問(wèn)。





CVE-2023-20269 漏洞主要影響 Cisco ASA 和 Cisco FTD 的 VPN 功能,允許未經(jīng)授權(quán)的遠(yuǎn)程網(wǎng)絡(luò)攻擊者對(duì)用戶(hù)現(xiàn)有賬戶(hù)進(jìn)行暴力攻擊,網(wǎng)絡(luò)攻擊者通過(guò)訪(fǎng)問(wèn)帳戶(hù),可以在被破壞公司的網(wǎng)絡(luò)中建立無(wú)客戶(hù)端 SSL VPN 會(huì)話(huà)。

值得一提的是,上個(gè)月,Bleeping Computer 曾報(bào)道稱(chēng) Akira 勒索軟件組織已開(kāi)始通過(guò)思科 VPN 設(shè)備入侵某些企業(yè)的內(nèi)部網(wǎng)絡(luò)。當(dāng)時(shí),網(wǎng)絡(luò)安全公司 SentinelOne 推測(cè)網(wǎng)絡(luò)攻擊者可能利用了一個(gè)未知安全漏洞。

一周后,Rapid7 表示除 Akira 外,Lockbit 勒索軟件組織也在利用思科 VPN 設(shè)備中一個(gè)未記錄的安全漏洞,但沒(méi)有透露該安全漏洞的更多其它細(xì)節(jié)。事后不久,思科就發(fā)布了一份咨詢(xún)警告,稱(chēng)上述違規(guī)行為是網(wǎng)絡(luò)攻擊者通過(guò)在未配置 MFA 的設(shè)備上強(qiáng)行使用憑據(jù),才成功入侵部分公司的內(nèi)部網(wǎng)絡(luò)。

本周,思科證實(shí)存在一個(gè)被勒索軟件團(tuán)伙利用的零日漏洞,并在臨時(shí)安全公告中提供了解決方法。不過(guò),受影響產(chǎn)品的安全更新尚未發(fā)布。



漏洞詳情



CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 設(shè)備的 web 服務(wù)接口內(nèi),由于未正確分離 AAA 功能和其他軟件功能造成。(具有處理身份驗(yàn)證、授權(quán)和計(jì)費(fèi)(AAA)功能的功能)。

這就導(dǎo)致攻擊者可以向 web 服務(wù)接口發(fā)送身份驗(yàn)證請(qǐng)求以影響或破壞授權(quán)組件的情況,由于這些請(qǐng)求沒(méi)有限制,網(wǎng)絡(luò)攻擊者能夠使用無(wú)數(shù)的用戶(hù)名和密碼組合來(lái)強(qiáng)制使用憑據(jù),從而避免受到速率限制或被阻止濫用。

要使暴力攻擊奏效,Cisco 設(shè)備必須滿(mǎn)足以下條件:

至少有一個(gè)用戶(hù)在 LOCAL 數(shù)據(jù)庫(kù)中配置了密碼,或者 HTTPS 管理身份驗(yàn)證指向有效的 AAA 服務(wù)器;

至少在一個(gè)接口上啟用了 SSL VPN,或者至少在一一個(gè)接口中啟用了 IKEv2 VPN。

如果目標(biāo)設(shè)備運(yùn)行 Cisco ASA 軟件 9.16 版或更早版本,在無(wú)需額外授權(quán)情況下,網(wǎng)絡(luò)攻擊者可以在成功身份驗(yàn)證后建立無(wú)客戶(hù)端 SSL VPN 會(huì)話(huà)。

要建立此無(wú)客戶(hù)端 SSL VPN 會(huì)話(huà),目標(biāo)設(shè)備需要滿(mǎn)足以下條件:

攻擊者在 LOCAL 數(shù)據(jù)庫(kù)或用于 HTTPS 管理身份驗(yàn)證的 AAA 服務(wù)器中擁有用戶(hù)的有效憑據(jù),這些證書(shū)可以使用暴力攻擊技術(shù)獲得;

設(shè)備正在運(yùn)行 Cisco ASA 軟件 9.16 版或更早版本;

至少在一個(gè)接口上啟用了 SSL VPN;

DfltGrpPolicy 中允許使用無(wú)客戶(hù)端 SSL VPN 協(xié)議。



如何緩解漏洞?



據(jù)悉,思科將發(fā)布安全更新以解決 CVE-2023-20269 安全漏洞問(wèn)題,但在修復(fù)更新可用之前,建議系統(tǒng)管理員采取以下措施:

使用 DAP(動(dòng)態(tài)訪(fǎng)問(wèn)策略)停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道;

通過(guò)將 DfltGrpPolicy 的 vpn 同時(shí)登錄調(diào)整為零,并確保所有 vpn 會(huì)話(huà)配置文件都指向自定義策略,拒絕使用默認(rèn)組策略進(jìn)行訪(fǎng)問(wèn);

通過(guò)使用 “組鎖定” 選項(xiàng)將特定用戶(hù)鎖定到單個(gè)配置文件來(lái)實(shí)現(xiàn) LOCAL 用戶(hù)數(shù)據(jù)庫(kù)限制,并通過(guò)將 “VPN 同時(shí)登錄” 設(shè)置為零來(lái)阻止 VPN 設(shè)置。

Cisco 還建議通過(guò)將所有非默認(rèn)配置文件指向 AAA 服務(wù)器(虛擬 LDAP 服務(wù)器)來(lái)保護(hù)默認(rèn)遠(yuǎn)程訪(fǎng)問(wèn) VPN 配置文件,并啟用日志記錄以盡早發(fā)現(xiàn)潛在網(wǎng)絡(luò)攻擊事件。

然后,需要注意的是,多因素身份驗(yàn)證(MFA)可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),原因是即使網(wǎng)絡(luò)攻擊者成功強(qiáng)制使用帳戶(hù)憑據(jù),也不足以劫持 MFA 安全帳戶(hù)并使用它們建立 VPN 連接。