Sårbarhet i Cisco-produkter utnyttjas aktivt

Cisco varnar om en sårbarhet i vpn-funktionen i produktserierna Adaptive Security Appliance (ASA) och Firepower Threat Defense (FTD), som kan medföra brute force-angrepp. [1]

Sårbarheten (CVE-2023-20269) kan innebära att en oautentiserad angripare kan utföra brute force-angrepp för att försöka identifiera giltiga användarnamn- och lösenordskombinationer. Dessa kan sedan användas till oautentiserade vpn-sessioner för att komma in i organisationers nätverk. Sårbarheten beror på felaktig separering av vpn-funktionen för fjärråtkomst och https-hanteringen av denna.

Enligt CISA utnyttjas sårbarheten aktivt. [2]

Cisco har själva gett sårbarheten en relativt låg CVSS-klassning (5,0 av 10), medan NIST bedömt den som kritisk och satt CVSS 9,1.

I ett tidigare blogginlägg har Cisco skrivit om hur vpn-sårbarheter utnyttjas av ransomwareaktörer. [4]

Påverkade produkter

Sårbarheterna påverkar följande produkter:

Cisco Adaptive Security Appliance (ASA) 
Cisco Firepower Threat Defense (FTD)

Rekommendationer

Cisco har publicerat information om ett antal mitigerande åtgärder [1], vilka CERT-SE rekommenderar att följa så snart det är möjligt. CERT-SE påminner även om vikten av att aktivera multifaktorautentisering på alla grundläggande tjänster, inklusive vpn.

Källor

[1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC
[2] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-20269
[4] https://blogs.cisco.com/security/akira-ransomware-targeting-vpns-without-multi-factor-authentication