Cisco ASA Zero-Day Exploited in Akira Ransomware Attacks
2023/09/08 SecurityWeek — 今週に Cisco は、Adaptive Security Appliance (ASA) および Firepower Threat Defense (FTD) ソフトウェアに存在する、ゼロデイ脆弱性について注意を喚起した。この脆弱性は、8月以降において Akira ランサムウェア攻撃で悪用されているものだ。この 脆弱性 CVE-2023-20269 (CVSS:5.0) は、Cisco ASA/FTD のリモート・アクセス VPN 機能に存在し、ブルート・フォース攻撃の対象とされているため、認証なしでリモートから悪用される可能性がある。
Cisco はアドバイザリでは、「この脆弱性は、リモートアクセス VPN 機能および、HTTPS 管理、サイト間 VPN 機能において、AAA (Authentication/Authorization/Accounting) の分離が不適切であることに起因する」と説明されている。
認証されていないリモートの攻撃者が、この脆弱性をブルートフォース攻撃で悪用する前提として、デフォルトの接続プロファイル/トンネル・グループを指定する必要がある。それにより、有効なユーザー名とパスワードのペアを識別できるようになる。
Cisco によると、有効なユーザー認証情報にアクセスできる攻撃者は、この欠陥を悪用して、認証されていないユーザーによりクライアントレス SSL VPN セッションを確立できるという。ただし、この脆弱性を悪用した、クライアント・ベースのリモート・アクセス VPN トンネルの確立や、認証のバイパスはできないと、同社は指摘している。
この脆弱性がブルートフォース攻撃で悪用が可能となるのは、影響を受けるデバイスのローカルデータベースにパスワードが設定されているユーザーがいる場合、もしくは、有効な AAA サーバを指す HTTPS 管理認証が設定されているユーザーがいる場合となる。そして、少なくとも上記のインターフェースのいずれかで、SSL VPN もしくは IKEv2 VPN が有効化されている場合となる。
このバグを悪用する攻撃者が、クライアントレス SSL VPN セッションを確立するとき、以下の4つの項目が前提/条件となる。1: 攻撃者が有効な認証情報を必要としていること。2: 対象デバイスが Cisco ASA バージョン 9.16 以前を実行していること。3: SSL VPN が少なくとも1つのインターフェイスで有効になっていること。4: クライアントレス SSL VPN プロトコルが許可されていること。
FTD では、クライアントレス SSL VPN セ ッションがサポートされていないため、Cisco FTD を実行しているデバイスは、この攻撃を受けない。
同社は、Cisco ASA/FTD ソフトウェアの双方で、この脆弱性に対処するためのセキュリティ・アップデートに取り組んでいる。
Cisco によると、この脆弱性が検出されたのは先月であり、多要素認証がない Cisco VPN 経由でユーザー組織を侵害した、Akira ランサムウェア攻撃を調査していたときだという。
同社は、「2023年8月に、Cisco Product Security Incident Response Team (PSIRT) は、この脆弱性を悪用しようとする動きを確認した。Cisco が顧客に推奨するのは、この脆弱性を修正したソフトウェア・リリースにアップグレードすることだが、それが提供されるまでの間は回避策を適用することだ」と述べている。
Cisco はユーザー組織に対して、潜在的な悪意の活動を特定する際に有効な指標 (IoC) のリストと、クライアントレス SSL VPN セッションの悪用から身を守るための方法を提供している。
Akira による Cisco への攻撃に関しては、2023/08/22 の「Akira ランサムウェア:Cisco VPN 製品を標的として組織に侵入している」が第一報で、2023/08/30 の「Akira ランサムウェア:Cisco VPN 製品を標的として組織に侵入している」が第二報となっています。そして、今日の記事で、標的となっている CVE-2023-20269 について、Cisco が解説するという展開になりました。興味深いのは、CVSS 値が “5.0” であるという点です。よろしければ、Akira で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.