A Cisco apontou na última semana a existência de uma vulnerabilidade de dia zero afetando os recursos de VPN de acesso remoto de dois de seus produtos – o Cisco Adaptative Security Appliance (ASA), e o Cisco Firepower Threat Defense (FTD). Através dessas exposições, agentes hostis poderiam conduzir ataques de força bruta em busca de identificar usernames válidos ou combinações de senhas.
A vulnerabilidade de CVE-2023-20269 foi gerada a partir da separação inadequada de autenticação, autorização e contabilidade (AAA, em inglês) entre o recurso de VPN de acesso remoto e os recursos de gerenciamento de HTTPS e VPN site a site.
Todavia, em nota publicada no próprio blog, a companhia informou que essa falha de defesa não possibilita o by-pass dos controles de acesso, uma vez que um usuário depende de credenciais válidas, incluindo segundo fator de autenticação para que possa estabelecer com sucesso uma sessão de VPN remota.
Também de acordo com o comunicado, a Cisco pretende publicar o quanto antes novas atualizações de software para corrigir essa vulnerabilidade. Mas até que isso ocorra, a companhia aconselha os clientes e usuários a seguirem algumas recomendações:
– Os administradores podem configurar uma política de acesso dinâmico (DAP) para encerrar túneis VPN quando o perfil de conexão/grupo de túneis DefaultADMINGroup ou DefaultL2LGroup for usado;
– Impedir o estabelecimento de sessões VPN de acesso remoto usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup, definindo a opção vpn-simultaneous-logins para a DfltGrpPolicy como zero;
– Evitar que os usuários do banco de dados de usuários LOCAL estabeleçam com êxito um túnel VPN de acesso remoto definindo a opção vpn-simultaneous-logins no modo de configuração de atributos de nome de usuário como zero.
“Embora essas soluções alternativas tenham sido implementadas e comprovadamente bem-sucedidas em um ambiente de teste, os clientes devem determinar a aplicabilidade e a eficácia em seu próprio ambiente e sob suas próprias condições de uso. Eles devem estar cientes de que qualquer solução alternativa ou atenuação implementada pode afetar negativamente o desempenho de sua rede. Não recomendamos implementar solução alternativa ou atenuação antes de avaliar a aplicabilidade e os impactos em seu próprio ambiente”, encerrou o comunicado.
A Security Report publica o conteúdo da Cisco sobre a vulnerabilidade recém-descoberta:
“Uma vulnerabilidade no recurso de VPN de acesso remoto do software Cisco Adaptive Security Appliance (ASA) e do software Cisco Firepower Threat Defense (FTD) pode permitir que um invasor remoto não autenticado realize um ataque de força bruta para identificar combinações válidas de nome de usuário e senha ou que um invasor remoto autenticado estabeleça uma sessão de VPN SSL sem cliente com um usuário não autorizado.
Essa vulnerabilidade se deve à separação inadequada de autenticação, autorização e contabilidade (AAA) entre o recurso de VPN de acesso remoto e os recursos de gerenciamento de HTTPS e VPN site a site. Um invasor pode explorar essa vulnerabilidade especificando um perfil de conexão/grupo de túneis padrão ao realizar um ataque de força bruta ou ao estabelecer uma sessão de VPN SSL sem cliente usando credenciais válidas. Uma exploração bem-sucedida poderia permitir que o invasor realizasse uma ou ambas as ações a seguir:
Identificar credenciais válidas que poderiam ser usadas para estabelecer uma sessão de VPN de acesso remoto não autorizada.
Estabelecer uma sessão de VPN SSL sem cliente (somente ao executar o software Cisco ASA versão 9.16 ou anterior).
Observações:
O estabelecimento de um túnel VPN de acesso remoto baseado em cliente não é possível, pois esses perfis de conexão/grupos de túnel padrão não têm e não podem ter um pool de endereços IP configurado.
Essa vulnerabilidade não permite que um invasor ignore a autenticação.Para estabelecer com êxito uma sessão VPN de acesso remoto, são necessárias credenciais válidas, incluindo um segundo fator válido se a autenticação multifator (MFA) estiver configurada. A Cisco lançará atualizações de software que abordam essa vulnerabilidade. Existem soluções alternativas que resolvem essa vulnerabilidade.
Soluções alternativas:
Embora não exista um método para impedir completamente uma tentativa de ataque de força bruta, você pode implementar as seguintes recomendações para se proteger contra o estabelecimento não autorizado de sessões Clientless SSL VPN usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup.
– Os administradores podem configurar uma política de acesso dinâmico (DAP) para encerrar o estabelecimento do túnel VPN quando o perfil de conexão/grupo de túnel DefaultADMINGroup ou DefaultL2LGroup for usado.Para obter mais informações sobre como configurar a DAP, consulte a seção Configurar políticas de acesso dinâmico do Guia de configuração do Cisco ASA Series VPN ASDM.
– Quando não se espera que a DfltGrpPolicy seja usada para atribuição de política de VPN de acesso remoto, os administradores podem impedir o estabelecimento de sessão de VPN de acesso remoto usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup definindo a opção vpn-simultaneous-logins para a DfltGrpPolicy como zero.
– Quando se espera que os usuários do banco de dados de usuários LOCAL consigam estabelecer túneis VPN de acesso remoto, os administradores podem usar a opção group-lock no modo de configuração de atributos de nome de usuário para configurar um bloqueio de modo que os usuários só possam se conectar a um perfil de conexão/grupo de túneis específico.
– Quando não se espera que os usuários no banco de dados de usuários LOCAL consigam estabelecer túneis de VPN de acesso remoto, os administradores podem impedir que esses usuários estabeleçam com êxito um túnel de VPN de acesso remoto definindo a opção vpn-simultaneous-logins no modo de configuração de atributos de nome de usuário como zero.
Embora essas soluções alternativas tenham sido implementadas e comprovadamente bem-sucedidas em um ambiente de teste, os clientes devem determinar a aplicabilidade e a eficácia em seu próprio ambiente e sob suas próprias condições de uso. Eles devem estar cientes de que qualquer solução alternativa ou atenuação implementada pode afetar negativamente a funcionalidade ou o desempenho de sua rede com base nos cenários e limitações intrínsecos de implementação do cliente. Os clientes não devem implementar nenhuma solução alternativa ou atenuação antes de avaliar primeiro a aplicabilidade em seu próprio ambiente e qualquer impacto sobre esse ambiente.”