Cisco confirmó el jueves la existencia de una vulnerabilidad de día cero actualmente sin parchear que los piratas informáticos están explotando para obtener acceso no autorizado a dos dispositivos de seguridad ampliamente utilizados que vende.
La vulnerabilidad reside en el software Adaptive Security Appliance de Cisco y su Firepower Threat Defense, que normalmente se abrevian como ASA y FTD. Cisco y los investigadores sabían desde la semana pasada que un sindicato criminal de ransomware llamado Akira estaba obteniendo acceso a dispositivos mediante la pulverización de contraseñas y la fuerza bruta. La pulverización de contraseñas, también conocida como relleno de credenciales, implica probar un puñado de contraseñas de uso común para una gran cantidad de nombres de usuario en un intento de evitar la detección y los bloqueos posteriores. En los ataques de fuerza bruta, los piratas informáticos utilizan un corpus mucho mayor de adivinanzas de contraseñas contra un número más limitado de nombres de usuario.
Ataques en curso desde (al menos) marzo
«Un atacante podría explotar esta vulnerabilidad especificando un perfil de conexión/grupo de túnel predeterminado mientras realiza un ataque de fuerza bruta o mientras establece una sesión VPN SSL sin cliente utilizando credenciales válidas», escribieron los funcionarios de Cisco en un aviso. “Un exploit exitoso podría permitir al atacante lograr uno o ambos de los siguientes:
- Identifique credenciales válidas que luego podrían usarse para establecer una sesión VPN de acceso remoto no autorizada.
- Establezca una sesión VPN SSL sin cliente (solo cuando ejecute la versión 9.16 o anterior del software Cisco ASA).
El ASA es un dispositivo de seguridad todo en uno que proporciona firewall, antivirus, prevención de intrusiones y protecciones de redes privadas virtuales. El FTD es el dispositivo de próxima generación de Cisco que combina las capacidades de ASA con una consola de administración más detallada y otras características más avanzadas. La vulnerabilidad, identificada como CVE-2023-20269, se debe a la separación inadecuada de autenticación, autorización y contabilidad de los dispositivos en el acceso remoto entre sus funciones VPN, administración HTTPS y VPN de sitio a sitio. Tiene una calificación de gravedad de 5,0 sobre 10 posible.
Investigadores de la firma de seguridad Rapid7 informaron la semana pasada que habían observado ataques de fuerza bruta y de relleno de credenciales contra dispositivos ASA desde al menos el pasado mes de marzo. Los ataques provinieron de Akira y se dirigieron a dispositivos que no tenían autenticación multifactor aplicada para algunos o todos sus usuarios, dijeron los investigadores.
“Rapid7 identificó al menos 11 clientes que experimentaron intrusiones relacionadas con Cisco ASA entre el 30 de marzo y el 24 de agosto de 2023”, afirmó la publicación del 29 de agosto, titulada “Bajo asedio: explotación observada por Rapid7 de las VPN SSL de Cisco ASA”. “Nuestro equipo rastreó la actividad maliciosa hasta un dispositivo ASA que brindaba servicio a VPN SSL para usuarios remotos. Los parches de los dispositivos ASA variaron según los dispositivos comprometidos: Rapid7 no identificó ninguna versión en particular que fuera inusualmente susceptible a la explotación”.
Los ataques, como se ilustra en una imagen incluida en la publicación de Rapid7, a menudo dirigían múltiples intentos de inicio de sesión a un objetivo en rápida sucesión. Si bien ambos intentos de inicio de sesión capturados en el registro de actividad que se muestra en la imagen no tuvieron éxito, en algunos casos los atacantes «se autenticaron exitosamente en el primer intento, lo que puede indicar que las cuentas de las víctimas estaban usando credenciales débiles o predeterminadas».