Cisco cảnh báo VPN zero-day bị ransomware khai thác

Hiện Cisco đưa ra cảnh báo về lỗ hổng CVE-2023-20269 zero-day trong Thiết bị bảo mật thích
ứng của Cisco (ASA) và Phòng chống mối đe dọa hỏa lực của Cisco (FTD), vốn bị các hoạt
động ransomware tích cực khai thác để giành quyền truy cập ban đầu vào các mạng doanh
nghiệp.

Lỗ hổng zero-day có mức độ nghiêm trọng trung bình, ảnh hưởng đến tính năng VPN của Cisco
ASA và Cisco FTD, cho phép đối tượng thực hiện từ xa các cuộc tấn công trái phép và nguy
hiểm từ xa, nhắm đến các tài khoản hiện có.

Bằng cách truy cập vào các tài khoản này, kẻ tấn công có thể thiết lập tính năng clientless SSL
VPN trong mạng lưới của tổ chức mục tiêubị vi phạm. Hành vi này gây ra những hậu quả khác
nhau, tùy thuộc vào cấu hình mạng của đối tượngcủa tổ chức đó.

BleepingComputer đưa tin hồi tháng 8, nhóm ransomware Akira đang xâm nhập hệ thống mạng
của các doanh nghiệp chỉ thông qua các thiết bị Cisco VPN. Công ty an ninh mạng SentinelOne
phỏng đoán rằng hành động này có thể xảy ra thông qua một lỗ hổng không xác định.
Một tuần sau, Rapid7 báo cáo ngoài Akira, chương trình ransomware Lockbit cũng khai thác một
vấn đề lỗ hổng bảo mật trong các thiết bị Cisco VPN mà không giấy tờchưa được ghi nhận trong
bất kỳ tài liệu nào trong các thiết bị Cisco VPN. Tuy nhiên, họ chưa xác định chính xác bản chất
của vấn đề này.

Thời điểm đó, Cisco đưa ra khuyến cáo rằng các hành vi vi phạm được thực hiện bằng cách
bắtép buộc nạn nhân đưa thông tin xác thực, trên các thiết bị không được định cấu hình MFA.

Trong tuần này, Cisco đã xác nhận về sự tồn tại của lỗ hổng zero-day đã đượcbị các nhóm
ransomware này khai thác. Họ cũng, đồng thời đưa ra phương pháp giải quyết trong bản tin bảo
mật tạm thời.

Tuy nhiên, bản cập nhật bảo mật cho các sản phẩm bị ảnh hưởng vẫn chưa hoàn thiện.

Chi tiết lỗ hổng

Lỗ hổng CVE-2023-20269 nằm trong giao diện dịch vụ web của thiết bị Cisco ASA và Cisco
FTD, đặc biệt là các chức năng xử lý xác thực, ủyphân quyền và kế toángiám sát (AAA).

Hiện tượng này xảy ra do việc tách rời các chức năng AAA và các tính năng phần mềm khác
không đúng cách. Điều này dẫn đến các tình huống trong đó kẻ tấn công có thể gửi yêu cầu xác
thực đến giao diện dịch vụ web để tác động hoặc xâm phạm các thành phần ủy quyền.

Nguyên nhân của lỗ hổng do việc tách rời các chức năng AAA và tính năng phần mềm khác
không đúng cách. Từ đó, đối tượng tấn công có thể gửi yêu cầu xác thực đến giao diện dịch vụ
web, nhằm tác động hoặc xâm phạm các thành phần ủy quyền.

Những yêu cầu này không bị giới hạn số lượng nên đối tượng tấn công có thể lấy thông tin xác
thực bằng nhiều lần kết hợp tên người dùng và mật khẩu. Chúng không bị hạn chế về tỷ lệ hoặc
bị chặn vì lạm dụng.

Để thực hiện các cuộc tấn công nghiêm trọng này, thiết bị của Cisco cần đáp ứng các điều kiện
sau:

 Ít nhất một người dùng được định cấu hình bằng mật khẩu, trong cơ sở dữ liệu địa
phương hoặc điểm xác thực quản lý HTTPS tới máy chủ AAA hợp lệ.
 SSL VPN hoặc IKEv2 VPN được bật trên ít nhất một giao diện.
Nếu thiết bị được nhắm mục tiêu chạy phiên bản Cisco ASA Software Release 9.16 trở về trước,
đối tượng tấn công có thể thiết lập SSL VPN mà không cần ủy quyền bổ sung sau khi xác thực
thành công.

Để thiết lập SSL VPN, thiết bị được mã hóa tiêu chuẩn cần đáp ứng các điều kiện sau:

 Đối tượng tấn công có thông tin xác thực hợp lệ của người dùng từ cơ sở dữ liệu địa
phương hoặc trong máy chủ AAA, được sử dụng để xác thực quản lý HTTPS. Những
thông tin xác thực này có thể lấy được bằng các thủ thuật tấn công.
 Thiết bị đang chạy phiên bản Cisco ASA Software Release 9.16 hoặc cũ hơn.
 SSL VPN được kích hoạt trên ít nhất một giao diện.
 Giao thức SSL VPN được cho phép trong DfltGrpPolicy.

Hạn chế rủi ro

Cisco sẽ phát hành bản cập nhật bảo mật cho địa chỉlỗ hổng CVE-2023-20269. Từ nay đến khi
có bản cập nhật, quản trị viên hệ thống nên thực hiện các thao tác sau:

 Sử dụng DAP (Chính sách truy cập động) để dừng các VPN tunnels bằng
DefaultADMINGroup hoặc DefaultL2LGroup.
 Từ chối quyền truy cập với Chính sách nhóm mặc định (Default Group Policy), bằng
cách điều chỉnh vpn-simultaneous-logins cho DfltGrpPolicy về 0 và đảm bảo tất cả cấu
hình phiên VPN đều trỏ đến một chính sách tùy chỉnh.
 Hạn chế cơ sở dữ liệu người dùng địa phương. Dùng chức năng ‘khóa nhóm’ để khóa
người dùng cụ thể vào một hồ sơ duy nhất, đồng thời ngăn thiết lập VPN bằng cách cài
đặt ‘đăng nhập đồng thời vpn’ về 0.

Cisco cũng đưa ra khuyến nghị bảo mật các cấu hình VPN truy cập từ xa mặc định, bằng cách trỏ
tất cả cấu hình không mặc định đến máy chủ AAA hố chìmsinkhole (máy chủ LDAP giả). Bên
cạnh đó, cho phép ghi lại nhật ký để phát hiện sớm các sự cố tấn công tiềm ẩn.

Điều quan trọng cuối cùng cần lưu ý là xác thực đa yếu tố (MFA) để giảm thiểu rủi ro, bởi việc
đánh cắp thông tin xác thực tài khoản thành công cũng không đủ để đột nhập các tài khoản được
bảo mật bằng MFA và sử dụng chúng để thiết lập kết nối VPN.
Link gốc: Cisco warns of VPN zero-day exploited by ransomware gangs (bleepingcomputer.com)