Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย
CVE-2023-20269 (คะแนน CVSS 5/10 ความรุนแรงระดับกลาง) เป็นช่องโหว่ที่ส่งผลกระทบต่อฟีเจอร์ VPN ของ Cisco ASA และ Cisco FTD ทำให้ ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Brute Force ด้วย Remote กับบัญชีที่มีอยู่ได้ ซึ่งหากโจมตีได้สำเร็จก็สามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กรที่เป็นเป้าหมาย ซึ่งเป็นขั้นตอนแรกในการเข้าถึงเครือข่าย ซึ่งอาจมีผลกระทบที่แตกต่างกันไป ขึ้นอยู่กับการตั้งค่าบนเครือข่าย
โดยในเดือนสิงหาคม 2023 BleepingComputer รายงานว่ากลุ่ม Akira ransomware ได้ทำการโจมตีเครือข่ายองค์กรผ่านอุปกรณ์ VPN ของ Cisco โดย SentinelOne คาดการณ์ว่าอาจมาจากช่องโหว่ Zero-day ที่ยังไม่เป็นที่รู้จัก ต่อมา Rapid7 ได้รายงานว่าพบการโจมตีของกลุ่ม Lockbit ransomware ได้ทำการโจมตีเป้าหมายผ่านช่องโหว่ Zero-day ของ Cisco VPN เช่นเดียวกัน ซึ่งทาง Cisco ได้ออกคำเตือนว่าการโจมตีกล่าวเกิดขึ้นจากการโจมตีด้วยการ brute forcing credentials บนอุปกรณ์ที่ไม่ได้กำหนดค่า MFA
ซึ่งปัจจุบันทาง Cisco ได้ยืนยันการมีอยู่ของช่องโหว่แบบ Zero-day ที่กลุ่ม ransomware ใช้ในการโจมตี และได้ระบุวิธีการแก้ไขชั่วคราว แต่ยังไม่มีแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว
รายละเอียดช่องโหว่
ช่องโหว่ CVE-2023-20269 อยู่ภายใน web services interface ของอุปกรณ์ Cisco ASA และ Cisco FTD โดยเฉพาะฟังก์ชันที่เกี่ยวข้องกับฟังก์ชัน authentication, authorization และ accounting (AAA)
ช่องโหว่ดังกล่าวเกิดจากการแยกฟังก์ชัน AAA และคุณลักษณะซอฟต์แวร์อื่น ๆ ไม่ถูกต้อง ทำให้ ผู้ไม่ประสงค์ดี สามารถส่งคำขอการ authentication ไปยัง web services interface ในการโจมตีดเพื่อให้ได้ authorization
เนื่องจาก request เหล่านี้ไม่มีการจำกัดจำนวนครั้ง ผู้ไม่ประสงค์ดี จึงสามารถโจมตีแบบ brute force credentials โดยใช้ชื่อผู้ใช้ และรหัสผ่านจำนวนนับไม่ถ้วน โดยไม่ถูกจำกัด หรือถูกบล็อก โดยเพื่อให้สามารถโจมตีแบบ brute force credentials ได้ อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขต่อไปนี้:
- ผู้ใช้อย่างน้อยหนึ่งรายได้รับการกำหนดค่าด้วยรหัสผ่านใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
- เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ หรือเปิดใช้งาน IKEv2 VPN บน interface อย่างน้อยหนึ่งรายการ
- หากอุปกรณ์ที่ถูกโจมตีใช้งาน Cisco ASA Software เวอร์ชัน 9.16 หรือเก่ากว่า ผู้ไม่ประสงค์ดี จะสามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กร โดยไม่ต้องให้สิทธิ์อนุญาตเพิ่มเติมเมื่อ authentication ได้สำเร็จ
หากต้องการสร้างเซสชัน SSL VPN แบบ clientless อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขเหล่านี้:
- ผู้ไม่ประสงค์ดี มีข้อมูล credential ที่ถูกต้องสำหรับผู้ใช้งานที่อยู่ใใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
- อุปกรณ์กำลังใช้งาน Cisco ASA Software เวอร์ชัน 16 หรือเก่ากว่า
- เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ
- อนุญาตให้ใช้โปรโตคอล SSL VPN แบบ clientless ใน DfltGrpPolicy
แนวทางการแก้ไข
Cisco มีแผนที่จะออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2023-20269 แต่จนกว่าจะมีการแก้ไข ทาง Cisco ได้แนะนำให้ผู้ดูแลระบบดำเนินการต่อไปนี้:
- ใช้ DAP (Dynamic Access Policies) เพื่อหยุดการทำงานของ VPN tunnels ด้วย DefaultADMINGroup หรือ DefaultL2LGroup
- ปฏิเสธการเข้าถึงด้วย Default Group Policy โดยการปรับ vpn-simultaneous-logins สำหรับ DfltGrpPolicy ให้เป็นศูนย์ และตรวจสอบให้แน่ใจว่า VPN session profiles ทั้งหมดชี้ไปที่ custom policy
- ใช้ข้อจำกัด LOCAL user database restrictions โดยการล็อคผู้ใช้งานบางรายให้อยู่ในโปรไฟล์เดียวด้วยตัวเลือก 'group-lock' และป้องกันการตั้งค่า VPN โดยการตั้งค่า 'vpn-simultaneous-logins' ให้เป็นศูนย์
Cisco ยังแนะนำให้ใช้ Default Remote Access VPN profiles โดยชี้โปรไฟล์ที่ไม่ใช่ Default ทั้งหมดไปยัง sinkhole AAA server (dummy LDAP server) และเปิดใช้งานการ logging เพื่อตรวจจับเหตุการณ์การโจมตีที่อาจเกิดขึ้น รวมถึงการเปิด multi-factor authentication (MFA) ช่วยลดความเสี่ยงในการโจมตีได้ เนื่องจากการโจมตีแบบ brute force credentials จะทำให้ไม่สามารถเข้าถึงบัญชีที่มีการเปิดใช้งาน MFA ได้
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น