Denmark’s CFCS Raises Alarm on Ransomware Exploiting Cisco VPN Flaw CVE-2023-20269
2023/01/24 SecurityOnline — Cisco Adaptive Security Appliance (ASA)/Cisco Firepower Threat Defense (FTD) 製品の VPN 機能に影響を及ぼす脆弱性 CVE-2023-20269 だが、それを悪用するランサムウェア活動が活発化しているとして、デンマークの Centre for Cyber Security (CFCS) が注意を呼びかけている。
CFCS はアラートで、「近ごろ、デンマーク国内を含む攻撃において、Cisco の脆弱性 CVE-2023-20269 がランサムウェア・オペレーターに積極的に悪用されていることを確認した。CFCS が推奨するのは、Cisco のアップデートに関するガイダンスの遵守と、強固なパスワードおよび多要素認証 (MFA:Multi-Factor Authentication) の使用である」と述べている。
この脆弱性 CVE-2023-20269 (CVSS:5.0) は、Cisco の ASA/FTD ソフトウェアのリモート・アクセス VPN 機能に存在するものだ。この脆弱性の脅威度は Medium レベルであるが、二重の脅威をもたらす可能性があるという:
- 承認されていない攻撃者がブルートフォース攻撃を行い、有効なユーザー名/パスワードの組み合わせを検出することが可能になる。
- 権限のないユーザーとのクライアントレス SSL VPN セッションを、攻撃者がセットアップできるようになる。
この脆弱性は、2023年9月に Cisco によりゼロデイ脅威として認識され、翌月には迅速に対策が示されている。しかし、この脅威は、2023年8月の時点で大きく注目を集めており、Akira ランサムウェアによる悪用と不正アクセスが発生している。
この脆弱性の悪用に成功した攻撃者は、ネットワークに侵入した後に偵察を行い、ネットワークの輪郭をマッピングし、バックアップや重要なサーバを標的にする。そして、Windows サーバのデジタル・ホールを徘徊し、ユーザー名とパスワードを盗み出し、重要なファイルを暗号化し、VMware 製品などの仮想マシン内のディスクを包囲するという。
このエスカレートする脅威に対する、CFCS のメッセージは明確だ。ユーザーに強く推奨されるのは、Cisco ASA 9.16.2.11 以降/Cisco FTD 6.6.7 以降へのアップグレードである。
デンマークの公的機関からの報告で、Cisco VPN の脆弱性 CVE-2023-20269 に対するランサムウェア攻撃が確認されたとのことです。直近の Cisco に関する記事は、2024/01/10 の「Cisco Unity Connection の脆弱性 CVE-2024-20272 が FIX:root 権限の窃取が可能」です。よろしければ、Cisco で検索も併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.