Akira 勒索软件攻击中利用 Cisco ASA 零日漏洞

思科本周对自适应安全设备 (ASA) 和 Firepower 威胁防御 (FTD) 软件中的零日漏洞发出警报，该软件自 8 月份以来一直在 Akira 勒索软件攻击中被利用。

该问题编号为CVE-2023-20269（CVSS 评分为 5.0，中等严重性），存在于 Cisco ASA 和 FTD 的远程访问 VPN 功能中，无需身份验证即可在暴力攻击中被远程利用。

“此漏洞是由于远程访问 VPN 功能与 HTTPS 管理和站点到站点 VPN 功能之间的身份验证、授权和计费 (AAA) 不正确分离造成的，”思科在一份报告中解释道。

要在暴力攻击期间利用此漏洞，未经身份验证的远程攻击者需要指定默认连接配置文件/隧道组，这将允许他们识别有效的用户名-密码对。

据思科称，能够访问有效用户凭据的攻击者可以利用该缺陷与未经授权的用户建立无客户端 SSL VPN 会话。

这家科技巨头指出，该漏洞不能被利用来建立基于客户端的远程访问 VPN 隧道或绕过身份验证。

如果受影响的设备的用户配置为“使用本地数据库中的密码或 HTTPS 管理身份验证指向有效的 AAA 服务器”，并且“至少在一个接口上启用了 SSL VPN 或 IKEv2 VPN”，则该漏洞可在暴力攻击中被利用。至少在一个接口上启用”。
要利用此漏洞建立无客户端 SSL VPN 会话，需要满足四个条件：攻击者需要有效的凭据、设备运行 Cisco ASA 版本 9.16 或更早版本、需要在至少一个接口上启用 SSL VPN，并且需要允许无客户端 SSL VPN 协议。

运行 Cisco FTD 的设备不易受到此攻击，因为 FTD 不提供对无客户端 SSL VPN 会话的支持。

该公司正在开发安全更新，以解决 Cisco ASA 和 FTD 软件中的漏洞。

思科表示，上个月在调查Akira 勒索软件攻击时首次发现了该漏洞，在该攻击中，组织通过缺乏多重身份验证的思科 VPN 受到了损害。

“2023 年 8 月，思科产品安全事件响应团队 (PSIRT) 意识到有人试图在野外利用此漏洞。思科强烈建议客户升级到固定软件版本，以修复此漏洞，并同时应用建议的解决方法之一。”思科指出。

这家科技巨头提供了一份妥协指标 (IoC) 列表，以帮助组织识别潜在的恶意活动，以及有关组织如何防止无客户端 SSL VPN 会话利用该漏洞的详细信息。