Cisco

シスコは、Cisco Adaptive Security Appliance(ASA)および Cisco Firepower Threat Defense(FTD)のゼロデイ脆弱性について警告しています。この脆弱性は、企業ネットワークへの初期アクセスを取得するためにランサムウェア操作によって積極的に悪用されています。

重大度が中程度のゼロデイ脆弱性は、Cisco ASA および Cisco FTD の VPN 機能に影響を及ぼし、無許可のリモート攻撃者が既存のアカウントに対してブルート フォース攻撃を実行できるようになります。

攻撃者はこれらのアカウントにアクセスすることで、侵害された組織のネットワーク内にクライアントレス SSL VPN セッションを確立できます。これは、被害者のネットワーク構成に応じてさまざまな影響を与える可能性があります。

先月、Akira ランサムウェア集団がほぼ独占的に Cisco VPN デバイスを介して企業ネットワークに侵入していると報告され、サイバーセキュリティ会社 SentinelOne は未知の脆弱性を経由している可能性があると推測しています。

1 週間後、 Rapid7 は、Lockbit ランサムウェアの作戦により、Akira に加えて Cisco VPN デバイスの文書化されていないセキュリティ問題も悪用されたと報告しました。しかし、問題の正確な性質は不明のままでした。

当時、シスコは、MFA が設定されていないデバイス上で資格情報をブルート フォース攻撃することによって侵害が行われたという警告を発表しました。

今週、シスコはこれらのランサムウェア集団によって使用されたゼロデイ脆弱性の存在を確認し、 暫定セキュリティ情報で回避策を提供しました。

ただし、影響を受ける製品のセキュリティ更新プログラムはまだ提供されていません。

脆弱性の詳細

CVE-2023-20269 の欠陥は、Cisco ASA および Cisco FTD デバイスの Web サービス インターフェイス、特に認証、認可、アカウンティング(AAA)機能を処理する機能内に存在します。

この欠陥は、AAA 機能とその他のソフトウェア機能が不適切に分離されていることが原因で発生します。これにより、攻撃者が Web サービス インターフェイスに認証リクエストを送信して、認可コンポーネントに影響を与えたり、認可コンポーネントを侵害したりするシナリオが発生します。

これらのリクエストには制限がないため、攻撃者はレート制限や悪用のブロックを受けることなく、無数のユーザー名とパスワードの組み合わせを使用して資格情報をブルート フォースで攻撃できます。

ブルート フォース攻撃が機能するには、Cisco アプライアンスが次の条件を満たしている必要があります。

  • 少なくとも 1 人のユーザが、ローカル データベース内のパスワード、または有効な AAA サーバを指す HTTPS 管理認証ポイントを使用して設定されています。
  • SSL VPN が少なくとも 1 つのインターフェイスで有効になっているか、 IKEv2 VPN が少なくとも 1 つのインターフェイスで有効になっています。

標的のデバイスが Cisco ASA ソフトウェア リリース 9.16 以前を実行している場合、攻撃者は認証成功時に追加の許可なしでクライアントレス SSL VPN セッションを確立できます。

このクライアントレス SSL VPN セッションを確立するには、対象のデバイスが次の条件を満たす必要があります。

  • 攻撃者は、ローカル データベースまたはHTTPS 管理認証に使用される AAA サーバに存在するユーザの有効な認証情報を持っています。これらの認証情報は、ブルート フォース攻撃手法を使用して取得される可能性があります。
  • デバイスは Cisco ASA ソフトウェア リリース 9.16 以前を実行しています。
  • SSL VPN は少なくとも 1 つのインターフェイスで有効になっています。
  • クライアントレス SSL VPN プロトコルはDfltGrpPolicy で許可されます。

欠陥の軽減

シスコは CVE-2023-20269 に対処するセキュリティ アップデートをリリースする予定ですが、修正が利用可能になるまで、システム管理者は次の措置を講じることをお勧めします。

  • DAP (ダイナミック アクセス ポリシー) を使用して、DefaultADMINGroup または DefaultL2LGroup で VPN トンネルを停止します。
  • DfltGrpPolicy の vpn-simultaneous-logins をゼロに調整し、すべての VPN セッション プロファイルがカスタム ポリシーを指すようにすることで、既定のグループ ポリシーでアクセスを拒否します。
  • 「group-lock」オプションを使用して特定のユーザーを単一のプロファイルにロックすることでローカル ユーザー データベース制限を実装し、「vpn-simultaneous-logins」をゼロに設定することで VPN セットアップを防止します。

また、シスコでは、デフォルト以外のすべてのプロファイルをシンクホール AAA サーバ(ダミー LDAP サーバ)に指定し、ロギングを有効にして潜在的な攻撃インシデントを早期に検出することで、デフォルトのリモート アクセス VPN プロファイルを保護することをお勧めします。

最後に、多要素認証 (MFA) によってリスクが軽減されることに注意することが重要です。アカウント資格情報の総当たり攻撃に成功したとしても、MFA で保護されたアカウントをハイジャックして VPN 接続を確立するために使用するには十分ではないからです。