Ataques Ransomware aos produtos Cisco ASA e FTD: CVE-2023-20269
Nos últimos meses, a Cisco emitiu alertas sobre uma vulnerabilidade zero-day preocupante que está sendo explorada ativamente por grupos de ransomware. Esta vulnerabilidade, conhecida como CVE-2023-20269, afeta o Cisco Adaptive Security Appliance (ASA) e o Cisco Firepower Threat Defense (FTD), dois produtos amplamente utilizados para a proteção de redes corporativas. Neste artigo, vamos explorar os detalhes desses ataques e a importância crucial da gestão de vulnerabilidades para mitigar esse tipo de risco.
Detalhes da Vulnerabilidade
A vulnerabilidade CVE-2023-20269 está relacionada à funcionalidade de VPN desses produtos da Cisco. Ela permite que atacantes remotos não autorizados realizem ataques de força bruta contra contas existentes. Uma vez que os invasores obtêm acesso a essas contas, eles podem estabelecer uma sessão VPN SSL sem a necessidade de um cliente em redes comprometidas. A gravidade dessa vulnerabilidade está relacionada à configuração da rede da vítima.
Os ataques que exploram essa vulnerabilidade foram observados em várias operações de ransomware, como o grupo Akira e o Lockbit. A natureza exata do problema inicialmente permaneceu obscura, mas agora foi confirmada pela Cisco. A exploração dessa vulnerabilidade é particularmente eficaz em dispositivos com o Cisco ASA Software Release 9.16 ou mais antigo.
Mitigação da Vulnerabilidade
Enquanto a Cisco está trabalhando em atualizações de segurança para resolver o problema, os administradores de sistema podem tomar medidas para mitigar a ameaça imediatamente. Alguns dos passos recomendados incluem:
Uso de DAP (Dynamic Access Policies): Interromper túneis VPN com DefaultADMINGroup ou DefaultL2LGroup.
Restrições na base de dados de usuário LOCAL: Bloquear usuários específicos em um único perfil com a opção 'group-lock' e impedir a configuração de VPN com 'vpn-simultaneous-logins' definido como zero.
Securizar perfis de VPN remota padrão: Apontar todos os perfis não padrão para um servidor AAA de sinkhole (servidor LDAP fictício) e habilitar o registro para detectar incidentes potenciais de ataque.
Implementar Autenticação de Múltiplos Fatores (MFA): A MFA pode mitigar o risco, pois mesmo se as credenciais forem obtidas por força bruta, não será suficiente para estabelecer conexões VPN.
A Importância da Gestão de Vulnerabilidades
Para mitigar essa ameaça, um programa de gerenciamento de vulnerabilidades desempenha um papel fundamental. Ele permite que as empresas identifiquem, avaliem e priorizem as vulnerabilidades em sua infraestrutura, incluindo aquelas como a CVE-2023-20269. Além disso, ajuda na aplicação de medidas corretivas, como as recomendadas pela Cisco, como o uso de DAP, restrições na base de dados de usuário LOCAL, securização de perfis de VPN remota padrão e implementação de Autenticação de Múltiplos Fatores (MFA). Essas medidas proativas ajudam a reduzir o risco de exploração, mesmo antes das atualizações de segurança estarem disponíveis, protegendo assim a integridade e a segurança da rede.
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui