Contato
Quem Somos
Quero Patrocinar

Vulnerabilidade Zero Day expõe produtos Cisco a ataques de força bruta

Descoberta da companhia coloca soluções de software na mira de comprometimento de usernames válidos e senhas. Em posicionamento publicado, a Cisco ofereceu respostas alternativas aos clientes enquanto ela trabalha para a publicação de correções
  • Por: Redação
  • setembro 11, 2023

Compartilhar:

A Cisco apontou na última semana a existência de uma vulnerabilidade de dia zero afetando os recursos de VPN de acesso remoto de dois de seus produtos – o Cisco Adaptative Security Appliance (ASA), e o Cisco Firepower Threat Defense (FTD). Através dessas exposições, agentes hostis poderiam conduzir ataques de força bruta em busca de identificar usernames válidos ou combinações de senhas.

A vulnerabilidade de CVE-2023-20269 foi gerada a partir da separação inadequada de autenticação, autorização e contabilidade (AAA, em inglês) entre o recurso de VPN de acesso remoto e os recursos de gerenciamento de HTTPS e VPN site a site.

Todavia, em nota publicada no próprio blog, a companhia informou que essa falha de defesa não possibilita o by-pass dos controles de acesso, uma vez que um usuário depende de credenciais válidas, incluindo segundo fator de autenticação para que possa estabelecer com sucesso uma sessão de VPN remota.

Também de acordo com o comunicado, a Cisco pretende publicar o quanto antes novas atualizações de software para corrigir essa vulnerabilidade. Mas até que isso ocorra, a companhia aconselha os clientes e usuários a seguirem algumas recomendações:

– Os administradores podem configurar uma política de acesso dinâmico (DAP) para encerrar túneis VPN quando o perfil de conexão/grupo de túneis DefaultADMINGroup ou DefaultL2LGroup for usado;

– Impedir o estabelecimento de sessões VPN de acesso remoto usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup, definindo a opção vpn-simultaneous-logins para a DfltGrpPolicy como zero;

– Evitar que os usuários do banco de dados de usuários LOCAL estabeleçam com êxito um túnel VPN de acesso remoto definindo a opção vpn-simultaneous-logins no modo de configuração de atributos de nome de usuário como zero.

“Embora essas soluções alternativas tenham sido implementadas e comprovadamente bem-sucedidas em um ambiente de teste, os clientes devem determinar a aplicabilidade e a eficácia em seu próprio ambiente e sob suas próprias condições de uso. Eles devem estar cientes de que qualquer solução alternativa ou atenuação implementada pode afetar negativamente o desempenho de sua rede. Não recomendamos implementar solução alternativa ou atenuação antes de avaliar a aplicabilidade e os impactos em seu próprio ambiente”, encerrou o comunicado.

A Security Report publica o conteúdo da Cisco sobre a vulnerabilidade recém-descoberta:

“Uma vulnerabilidade no recurso de VPN de acesso remoto do software Cisco Adaptive Security Appliance (ASA) e do software Cisco Firepower Threat Defense (FTD) pode permitir que um invasor remoto não autenticado realize um ataque de força bruta para identificar combinações válidas de nome de usuário e senha ou que um invasor remoto autenticado estabeleça uma sessão de VPN SSL sem cliente com um usuário não autorizado.

Essa vulnerabilidade se deve à separação inadequada de autenticação, autorização e contabilidade (AAA) entre o recurso de VPN de acesso remoto e os recursos de gerenciamento de HTTPS e VPN site a site. Um invasor pode explorar essa vulnerabilidade especificando um perfil de conexão/grupo de túneis padrão ao realizar um ataque de força bruta ou ao estabelecer uma sessão de VPN SSL sem cliente usando credenciais válidas. Uma exploração bem-sucedida poderia permitir que o invasor realizasse uma ou ambas as ações a seguir:

Identificar credenciais válidas que poderiam ser usadas para estabelecer uma sessão de VPN de acesso remoto não autorizada.

Estabelecer uma sessão de VPN SSL sem cliente (somente ao executar o software Cisco ASA versão 9.16 ou anterior).

Observações:

O estabelecimento de um túnel VPN de acesso remoto baseado em cliente não é possível, pois esses perfis de conexão/grupos de túnel padrão não têm e não podem ter um pool de endereços IP configurado.

Essa vulnerabilidade não permite que um invasor ignore a autenticação.Para estabelecer com êxito uma sessão VPN de acesso remoto, são necessárias credenciais válidas, incluindo um segundo fator válido se a autenticação multifator (MFA) estiver configurada. A Cisco lançará atualizações de software que abordam essa vulnerabilidade. Existem soluções alternativas que resolvem essa vulnerabilidade.

Soluções alternativas:

Embora não exista um método para impedir completamente uma tentativa de ataque de força bruta, você pode implementar as seguintes recomendações para se proteger contra o estabelecimento não autorizado de sessões Clientless SSL VPN usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup.

– Os administradores podem configurar uma política de acesso dinâmico (DAP) para encerrar o estabelecimento do túnel VPN quando o perfil de conexão/grupo de túnel DefaultADMINGroup ou DefaultL2LGroup for usado.Para obter mais informações sobre como configurar a DAP, consulte a seção Configurar políticas de acesso dinâmico do Guia de configuração do Cisco ASA Series VPN ASDM.

– Quando não se espera que a DfltGrpPolicy seja usada para atribuição de política de VPN de acesso remoto, os administradores podem impedir o estabelecimento de sessão de VPN de acesso remoto usando os perfis de conexão/grupos de túnel DefaultADMINGroup ou DefaultL2LGroup definindo a opção vpn-simultaneous-logins para a DfltGrpPolicy como zero.

– Quando se espera que os usuários do banco de dados de usuários LOCAL consigam estabelecer túneis VPN de acesso remoto, os administradores podem usar a opção group-lock no modo de configuração de atributos de nome de usuário para configurar um bloqueio de modo que os usuários só possam se conectar a um perfil de conexão/grupo de túneis específico.

– Quando não se espera que os usuários no banco de dados de usuários LOCAL consigam estabelecer túneis de VPN de acesso remoto, os administradores podem impedir que esses usuários estabeleçam com êxito um túnel de VPN de acesso remoto definindo a opção vpn-simultaneous-logins no modo de configuração de atributos de nome de usuário como zero.

Embora essas soluções alternativas tenham sido implementadas e comprovadamente bem-sucedidas em um ambiente de teste, os clientes devem determinar a aplicabilidade e a eficácia em seu próprio ambiente e sob suas próprias condições de uso. Eles devem estar cientes de que qualquer solução alternativa ou atenuação implementada pode afetar negativamente a funcionalidade ou o desempenho de sua rede com base nos cenários e limitações intrínsecos de implementação do cliente. Os clientes não devem implementar nenhuma solução alternativa ou atenuação antes de avaliar primeiro a aplicabilidade em seu próprio ambiente e qualquer impacto sobre esse ambiente.”


Destaques

Passado, Presente e Futuro da Segurança Cibernética

Contexto global de Cyber orienta nova estratégia geopolítica dos Estados Unidos

Febraban alerta para golpes na ajuda para vítimas das chuvas do Rio Grande do Sul

72% das empresas brasileiras de commodities sofreram algum ataque em 2023

Preservando o futuro da educação: a importância da proteção cibernética

Polícia prende suspeito de invadir conta de agente federal e violar sistemas do Gov.br

Colunas & Blogs

Avatar photo
Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs
Alex Amorim
Avatar photo
O Amanhecer do Superciclo Tecnológico: Remodelando Indústrias e Sociedades
Fabio Correa Xavier
Avatar photo
Caminhada (Não tão) solitária rumo à Segurança Digital
Rodrigo Jorge
Avatar photo
Passado, Presente e Futuro da Segurança Cibernética
Luiz Firmino
Avatar photo
A caminho de uma Guerra Cibernética Mundial
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Overview

72% das empresas brasileiras de commodities sofreram algum ataque em 2023

A Redbelt identificou crescimento dos golpes cibernéticos nestas companhias, com estimativa de cerca de 10 mil crimes digitais registrados somente...
Leia Mais
  • Redação
  • maio 8, 2024
Security Report | Overview

Preservando o futuro da educação: a importância da proteção cibernética

A rápida transformação digital atravessada pelo setor educacional o fez se tornar um dos alvos mais interessantes para o cibercrime,...
Leia Mais
  • Redação
  • maio 8, 2024
Security Report | Overview

Deepfakes: Como validar as vídeochamadas para escapar de golpes?

Especialistas da Check Point Software indicam dicas e truques, principalmente aos funcionários, que podem ser usados para verificar se as...
Leia Mais
  • Redação
  • maio 7, 2024
Security Report | Overview

Operadoras de seguro cibernético aprimoram cálculo de risco com IA

A análise de risco cibernético de uma empresa no momento de contratar um seguro Cyber é mais um dos casos...
Leia Mais
  • Redação
  • maio 7, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit