Cisco ha emitido una advertencia sobre una vulnerabilidad de día cero, identificada como CVE-2023-20269, que está siendo explotada activamente por bandas de ransomware. Esta vulnerabilidad afecta a sus productos Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD), específicamente en la función de VPN.
La vulnerabilidad, calificada como de gravedad media, permite a atacantes remotos no autorizados llevar a cabo ataques de fuerza bruta contra cuentas existentes. Una vez comprometidas estas cuentas, los atacantes pueden establecer una sesión SSL VPN sin cliente en la red de la organización objetivo, con implicaciones que varían según la configuración de la red.
Esta amenaza ya ha sido aprovechada por grupos de ransomware, incluidos Akira y Lockbit, que han estado atacando redes corporativas a través de dispositivos Cisco VPN. Cisco previamente emitió un aviso sobre infracciones que involucraban credenciales de fuerza bruta en dispositivos sin autenticación multifactor (MFA) configurada.
La vulnerabilidad CVE-2023-20269 se encuentra en la interfaz de servicios web de Cisco ASA y Cisco FTD y afecta a las funciones de autenticación, autorización y contabilidad (AAA). La falla surge de una separación incorrecta de las funciones AAA y otras características del software, permitiendo que los atacantes envíen solicitudes de autenticación ilimitadas sin limitaciones de velocidad o bloqueo por abuso.
Para que los ataques de fuerza bruta tengan éxito, se deben cumplir ciertas condiciones en el dispositivo Cisco, incluyendo la existencia de al menos un usuario configurado con contraseña en la base de datos local o una autenticación de administración HTTPS que apunte a un servidor AAA válido.
Cisco planea lanzar una actualización de seguridad para abordar esta vulnerabilidad, pero hasta entonces, se recomiendan medidas de mitigación como el uso de directivas de acceso dinámico (DAP) y restricciones de base de datos de usuarios locales. Además, se enfatiza la importancia de la autenticación multifactor (MFA) para fortalecer la seguridad contra estos ataques.
fuente: bleepingcomputer