Vulnerabilidade Zero Day expõe produtos Cisco a ataques de força bruta

Descoberta da companhia coloca soluções de software na mira de comprometimento de usernames válidos e senhas. Em posicionamento publicado, a Cisco ofereceu respostas alternativas aos clientes enquanto ela trabalha para a publicação de correções

Compartilhar:

A Cisco apontou na última semana a existência de uma vulnerabilidade de dia zero afetando os recursos de VPN de acesso remoto de dois de seus produtos – o Cisco Adaptative Security Appliance (ASA), e o Cisco Firepower Threat Defense (FTD). Através dessas exposições, agentes hostis poderiam conduzir ataques de força bruta em busca de identificar usernames válidos ou combinações de senhas.

A vulnerabilidade de CVE-2023-20269 foi gerada a partir da separação inadequada de autenticação, autorização e contabilidade (AAA, em inglês) entre o recurso de VPN de acesso remoto e os recursos de gerenciamento de HTTPS e VPN site a site.

Todavia, em nota publicada no próprio blog, a companhia informou que essa falha de defesa não possibilita o by-pass dos controles de acesso, uma vez que um usuário depende de credenciais válidas, incluindo segundo fator de autenticação para que possa estabelecer com sucesso uma sessão de VPN remota.

Também de acordo com o comunicado, a Cisco pretende publicar o quanto antes novas atualizações de software para corrigir essa vulnerabilidade. Mas até que isso ocorra, a companhia aconselha os clientes e usuários a seguirem algumas recomendações:

– Os administradores podem configurar uma política de acesso dinâmico (DAP) para encerrar túneis VPN quando o perfil de conexão/grupo de túneis DefaultADMINGroup ou DefaultL2LGroup for usado;

– Impedir o estabelecimento de sessões VPN de acesso remoto usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup, definindo a opção vpn-simultaneous-logins para a DfltGrpPolicy como zero;

– Evitar que os usuários do banco de dados de usuários LOCAL estabeleçam com êxito um túnel VPN de acesso remoto definindo a opção vpn-simultaneous-logins no modo de configuração de atributos de nome de usuário como zero.

“Embora essas soluções alternativas tenham sido implementadas e comprovadamente bem-sucedidas em um ambiente de teste, os clientes devem determinar a aplicabilidade e a eficácia em seu próprio ambiente e sob suas próprias condições de uso. Eles devem estar cientes de que qualquer solução alternativa ou atenuação implementada pode afetar negativamente o desempenho de sua rede. Não recomendamos implementar solução alternativa ou atenuação antes de avaliar a aplicabilidade e os impactos em seu próprio ambiente”, encerrou o comunicado.

A Security Report publica o conteúdo da Cisco sobre a vulnerabilidade recém-descoberta:

“Uma vulnerabilidade no recurso de VPN de acesso remoto do software Cisco Adaptive Security Appliance (ASA) e do software Cisco Firepower Threat Defense (FTD) pode permitir que um invasor remoto não autenticado realize um ataque de força bruta para identificar combinações válidas de nome de usuário e senha ou que um invasor remoto autenticado estabeleça uma sessão de VPN SSL sem cliente com um usuário não autorizado.

Essa vulnerabilidade se deve à separação inadequada de autenticação, autorização e contabilidade (AAA) entre o recurso de VPN de acesso remoto e os recursos de gerenciamento de HTTPS e VPN site a site. Um invasor pode explorar essa vulnerabilidade especificando um perfil de conexão/grupo de túneis padrão ao realizar um ataque de força bruta ou ao estabelecer uma sessão de VPN SSL sem cliente usando credenciais válidas. Uma exploração bem-sucedida poderia permitir que o invasor realizasse uma ou ambas as ações a seguir:

Identificar credenciais válidas que poderiam ser usadas para estabelecer uma sessão de VPN de acesso remoto não autorizada.

Estabelecer uma sessão de VPN SSL sem cliente (somente ao executar o software Cisco ASA versão 9.16 ou anterior).

Observações:

O estabelecimento de um túnel VPN de acesso remoto baseado em cliente não é possível, pois esses perfis de conexão/grupos de túnel padrão não têm e não podem ter um pool de endereços IP configurado.

Essa vulnerabilidade não permite que um invasor ignore a autenticação.Para estabelecer com êxito uma sessão VPN de acesso remoto, são necessárias credenciais válidas, incluindo um segundo fator válido se a autenticação multifator (MFA) estiver configurada. A Cisco lançará atualizações de software que abordam essa vulnerabilidade. Existem soluções alternativas que resolvem essa vulnerabilidade.

Soluções alternativas:

Embora não exista um método para impedir completamente uma tentativa de ataque de força bruta, você pode implementar as seguintes recomendações para se proteger contra o estabelecimento não autorizado de sessões Clientless SSL VPN usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup.

– Os administradores podem configurar uma política de acesso dinâmico (DAP) para encerrar o estabelecimento do túnel VPN quando o perfil de conexão/grupo de túnel DefaultADMINGroup ou DefaultL2LGroup for usado.Para obter mais informações sobre como configurar a DAP, consulte a seção Configurar políticas de acesso dinâmico do Guia de configuração do Cisco ASA Series VPN ASDM.

– Quando não se espera que a DfltGrpPolicy seja usada para atribuição de política de VPN de acesso remoto, os administradores podem impedir o estabelecimento de sessão de VPN de acesso remoto usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup definindo a opção vpn-simultaneous-logins para a DfltGrpPolicy como zero.

– Quando se espera que os usuários do banco de dados de usuários LOCAL consigam estabelecer túneis VPN de acesso remoto, os administradores podem usar a opção group-lock no modo de configuração de atributos de nome de usuário para configurar um bloqueio de modo que os usuários só possam se conectar a um perfil de conexão/grupo de túneis específico.

– Quando não se espera que os usuários no banco de dados de usuários LOCAL consigam estabelecer túneis de VPN de acesso remoto, os administradores podem impedir que esses usuários estabeleçam com êxito um túnel de VPN de acesso remoto definindo a opção vpn-simultaneous-logins no modo de configuração de atributos de nome de usuário como zero.

Embora essas soluções alternativas tenham sido implementadas e comprovadamente bem-sucedidas em um ambiente de teste, os clientes devem determinar a aplicabilidade e a eficácia em seu próprio ambiente e sob suas próprias condições de uso. Eles devem estar cientes de que qualquer solução alternativa ou atenuação implementada pode afetar negativamente a funcionalidade ou o desempenho de sua rede com base nos cenários e limitações intrínsecos de implementação do cliente. Os clientes não devem implementar nenhuma solução alternativa ou atenuação antes de avaliar primeiro a aplicabilidade em seu próprio ambiente e qualquer impacto sobre esse ambiente.”


Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...