شناسایی یک آسیب پذیری جدی در حملات باج افزاری به دستگاه های امنیتی سازگار

یک مهاجم از راه دور و احراز هویت نشده می‌تواند از این آسیب‌پذیری برای انجام یک حمله خشونت آمیز (brute force) استفاده کند.

در این حمله برای شناسایی ترکیب‌های نام کاربری و رمز عبور معتبر یا یک مهاجم احراز هویت شده و از راه دور برای ایجاد یک نشست اس اس ال وی پی ان (SSL VPN) بدون کلاینت با کاربر غیرمجاز استفاده شده است.

این آسیب‌پذیری به دلیل جداسازی نامناسب احراز هویت، مجوز، و حسابداری (AAA) بین ویژگی دسترسی از راه دور وی پی ان و مدیریت HTTPS و ویژگی‌های وی پی ان سایت به سایت است.

یک مهاجم می‌تواند با تعیین یک پروفایل اتصال/گروه تونل پیش‌فرض در حین انجام یک حمله خوشنت آمیز یا هنگام ایجاد یک جلسه اس اس ال وی پی ان بدون کلاینت با استفاده از اعتبارنامه‌های معتبر، از این آسیب‌پذیری سوء استفاده کند.

طبق توصیه ای که توسط این غول فناوری اطلاعات منتشر شده است، یک سوء استفاده موفق می تواند به مهاجم این امکان را بدهد که به یک یا هر دو مورد زیر دست یابد:

اعتبارنامه های معتبری را شناسایی کند که سپس می توانند برای ایجاد یک جلسه وی پی ان دسترسی از راه دور غیرمجاز استفاده شوند.
یک جلسه اس اس ال وی پی ان بدون کلاینت (فقط در هنگام اجرای نرم افزار تطبیق امنیت دستگاه سیسکو نسخه 9.16 یا قبل تر) ایجاد شود.

این شرکت توضیح داد که آسیب‌پذیری روز صفر توسط گروه‌های باج‌افزار، مانند گروه باج‌افزاری آکیرا (Akira)، برای هدف قرار دادن سازمان‌ها مورد سوء استفاده قرار گرفت.

در پایان ماه اوت، سیسکو فاش کرد که از حملاتی که توسط عوامل تهدید باج‌افزار آکیرا انجام شده است که وی پی ان‌های سیسکو  در تطبیق امنیت دستگاه را هدف قرار می‌دهند که برای احراز هویت چند عاملی پیکربندی نشده‌اند، آگاه بوده است.

سیسکو با کمک رپید 7 (Rapid7) به طور فعال کمپین هک را بررسی کرده است.

محققان رپید 7 مشاهده کرده‌اند که فعالیت‌های تهدیدی افزایش یافته که دستگاه‌های تطبیق امنیت دستگاه سیسکو  اس اس ال وی پی ان را هدف قرار می‌دهد، حداقل به مارس 2023 بازمی‌گردد.

رپید7 حداقل 11 مشتری را شناسایی کرد که بین 30 مارس تا 24 آگوست 2023 نفوذهای مرتبط با تطبیق امنیت دستگاه  سیسکو را تجربه کردند.

عوامل تهدید در حال انجام پر کردن اعتبار و حملات بی رحمانه با هدف قرار دادن تطبیق امنیت دستگاه سیسکو اس اس ال وی پی ان  (Adaptive Security Appliance) هستند.

باج افزار آکیرا از مارس 2023 فعال بوده است و عوامل تهدید کننده این بدافزار ادعا می کنند که قبلا چندین سازمان را در صنایع مختلف از جمله آموزش، امور مالی و املاک و مستغلات هک کرده اند.

مانند سایر گروه های باج افزاری، این گروه یک رمزگذار لینوکس برای هدف قرار دادن سرورهای وی ام ور (VMware ESXi) توسعه داده است.

این گروه اکنون محصولات سیسکو وی پی ان را برای دسترسی اولیه به شبکه های شرکتی هدف قرار داده است.

محققان شرکت امنیتی سوفوس (Sophos) در ماه مه این عامل تهدید را مشاهده کردند که از حساب‌های وی پی ان به خطر افتاده سیسکو برای نفوذ به شبکه‌های هدف استفاده می‌کرده است.

وبسایت بلیپینگ کامپیوتر (Bleeping Computer) اطلاعات به اشتراک گذاشته شده توسط پاسخ دهنده حادثه را به عنوان آئورا (Aura) در توییتر گزارش کرد.

آئورا تأیید کرد که عوامل تهدید سازمان‌هایی را هدف قرار می‌دهند که از دستگاه‌های وی پی ان سیسکو بدون فعال کردن احراز هویت دو عاملی استفاده می‌کنند.

بلیپینگ کامپیوتر همچنین گزارش داد که سنتینل وان (SentinelOne) در حال بررسی این احتمال است که گروه باج افزاری آکیرا از یک آسیب پذیری ناشناخته در نرم افزار سیسکو وی پی ان سوء استفاده می کند.

سیسکو هنوز به آسیب پذیری CVE-2023-20269 رسیدگی نکرده است و منتظر راه حلی است که شرکت توصیه کند:

-    هنگامی که از نمایه/گروه تونل اتصال DefaultADMINGroup یا DefaultL2LGroup استفاده می شود، از خط مشی دسترسی پویا (DAP) برای پایان دادن به ایجاد تونل وی پی ان استفاده کنید.
-    وی پی ان دسترسی از راه دور را با استفاده از خط مشی پیش فرض گروه (DfltGrpPolicy) رد کنید. هنگامی که انتظار نمی رود از خط مشی پیش فرض گروه برای تخصیص خط مشی وی پی ان دسترسی از راه دور استفاده شود، مدیران می توانند با تنظیم گزینه ورود های مشابه وی پی ان برای خط مشی پیش فرض گروه، از ایجاد جلسه وی پی ان با دسترسی از راه دور با استفاده از پروفایل ها/گروه های اتصال DefaultADMINGroup یا DefaultL2LGroup جلوگیری کنند.
-    کاربران را در پایگاه داده کاربر محلی محدود کنید.
-    کاربران را فقط به یک نمایه اتصال خاص/گروه تونل قفل کنید.
-    از ایجاد جلسات وی پی ان با دسترسی از راه دور جلوگیری کنید.