丁香五月激情综合国产,国产亚洲精品美女久久久m,国产亚洲av在线,国产成人综合野草

全國咨詢電話

02389108633

關(guān)注官方微信

警告!思科 VPN 漏洞或被勒索軟件利用

Bleeping Computer 網(wǎng)站披露,思科自適應(yīng)安全設(shè)備(Cisco Adaptive Security Appliance,ASA)和思科威脅防御系統(tǒng)(Cisco Firepower Threat Defense,F(xiàn)TD)中存在一個(gè)漏洞(CVE-2023-20269 ),勒索軟件組織正在利用該漏洞對(duì)部分企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行初始化訪問。





CVE-2023-20269 漏洞主要影響 Cisco ASA 和 Cisco FTD 的 VPN 功能,允許未經(jīng)授權(quán)的遠(yuǎn)程網(wǎng)絡(luò)攻擊者對(duì)用戶現(xiàn)有賬戶進(jìn)行暴力攻擊,網(wǎng)絡(luò)攻擊者通過訪問帳戶,可以在被破壞公司的網(wǎng)絡(luò)中建立無客戶端 SSL VPN 會(huì)話。

值得一提的是,上個(gè)月,Bleeping Computer 曾報(bào)道稱 Akira 勒索軟件組織已開始通過思科 VPN 設(shè)備入侵某些企業(yè)的內(nèi)部網(wǎng)絡(luò)。當(dāng)時(shí),網(wǎng)絡(luò)安全公司 SentinelOne 推測網(wǎng)絡(luò)攻擊者可能利用了一個(gè)未知安全漏洞。

一周后,Rapid7 表示除 Akira 外,Lockbit 勒索軟件組織也在利用思科 VPN 設(shè)備中一個(gè)未記錄的安全漏洞,但沒有透露該安全漏洞的更多其它細(xì)節(jié)。事后不久,思科就發(fā)布了一份咨詢警告,稱上述違規(guī)行為是網(wǎng)絡(luò)攻擊者通過在未配置 MFA 的設(shè)備上強(qiáng)行使用憑據(jù),才成功入侵部分公司的內(nèi)部網(wǎng)絡(luò)。

本周,思科證實(shí)存在一個(gè)被勒索軟件團(tuán)伙利用的零日漏洞,并在臨時(shí)安全公告中提供了解決方法。不過,受影響產(chǎn)品的安全更新尚未發(fā)布。



漏洞詳情



CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 設(shè)備的 web 服務(wù)接口內(nèi),由于未正確分離 AAA 功能和其他軟件功能造成。(具有處理身份驗(yàn)證、授權(quán)和計(jì)費(fèi)(AAA)功能的功能)。

這就導(dǎo)致攻擊者可以向 web 服務(wù)接口發(fā)送身份驗(yàn)證請求以影響或破壞授權(quán)組件的情況,由于這些請求沒有限制,網(wǎng)絡(luò)攻擊者能夠使用無數(shù)的用戶名和密碼組合來強(qiáng)制使用憑據(jù),從而避免受到速率限制或被阻止濫用。

要使暴力攻擊奏效,Cisco 設(shè)備必須滿足以下條件:

至少有一個(gè)用戶在 LOCAL 數(shù)據(jù)庫中配置了密碼,或者 HTTPS 管理身份驗(yàn)證指向有效的 AAA 服務(wù)器;

至少在一個(gè)接口上啟用了 SSL VPN,或者至少在一一個(gè)接口中啟用了 IKEv2 VPN。

如果目標(biāo)設(shè)備運(yùn)行 Cisco ASA 軟件 9.16 版或更早版本,在無需額外授權(quán)情況下,網(wǎng)絡(luò)攻擊者可以在成功身份驗(yàn)證后建立無客戶端 SSL VPN 會(huì)話。

要建立此無客戶端 SSL VPN 會(huì)話,目標(biāo)設(shè)備需要滿足以下條件:

攻擊者在 LOCAL 數(shù)據(jù)庫或用于 HTTPS 管理身份驗(yàn)證的 AAA 服務(wù)器中擁有用戶的有效憑據(jù),這些證書可以使用暴力攻擊技術(shù)獲得;

設(shè)備正在運(yùn)行 Cisco ASA 軟件 9.16 版或更早版本;

至少在一個(gè)接口上啟用了 SSL VPN;

DfltGrpPolicy 中允許使用無客戶端 SSL VPN 協(xié)議。



如何緩解漏洞?



據(jù)悉,思科將發(fā)布安全更新以解決 CVE-2023-20269 安全漏洞問題,但在修復(fù)更新可用之前,建議系統(tǒng)管理員采取以下措施:

使用 DAP(動(dòng)態(tài)訪問策略)停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道;

通過將 DfltGrpPolicy 的 vpn 同時(shí)登錄調(diào)整為零,并確保所有 vpn 會(huì)話配置文件都指向自定義策略,拒絕使用默認(rèn)組策略進(jìn)行訪問;

通過使用 “組鎖定” 選項(xiàng)將特定用戶鎖定到單個(gè)配置文件來實(shí)現(xiàn) LOCAL 用戶數(shù)據(jù)庫限制,并通過將 “VPN 同時(shí)登錄” 設(shè)置為零來阻止 VPN 設(shè)置。

Cisco 還建議通過將所有非默認(rèn)配置文件指向 AAA 服務(wù)器(虛擬 LDAP 服務(wù)器)來保護(hù)默認(rèn)遠(yuǎn)程訪問 VPN 配置文件,并啟用日志記錄以盡早發(fā)現(xiàn)潛在網(wǎng)絡(luò)攻擊事件。

然后,需要注意的是,多因素身份驗(yàn)證(MFA)可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),原因是即使網(wǎng)絡(luò)攻擊者成功強(qiáng)制使用帳戶憑據(jù),也不足以劫持 MFA 安全帳戶并使用它們建立 VPN 連接。