Дефект "нулевого дня" в Cisco VPN

Дефект средней степени тяжести, отслеживаемый как CVE-2023-20269, существует в функции удаленного доступа к VPN в программных стеках Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). По сути это означает, что злоумышленникам ничто не мешает проникнуть на уязвимое устройство методом перебора всех возможных и вероятных комбинаций имени пользователя и пароля. (Если у вас настроена многофакторная аутентификация и вы используете надежные учетные данные, то все должно быть в порядке).

Из-за особенностей цикла разработки программного обеспечения не всегда возможно устранить обнаруженные уязвимости за день или два. Эксплойт нулевого дня относится к уязвимости системы безопасности, которая была обнародована до того, как разработчики программного обеспечения смогли ее обнаружить. Из-за неизвестного характера эксплойта разработчикам требуется время, чтобы воспроизвести эксплойт и найти решение. Хакеры, которые участвуют в злонамеренной практике получения несанкционированного доступа к устройствам для любого количества непродуманных целей, всегда ищут такие лазейки в системе безопасности.

Что делает эксплойт нулевого дня опасным, так это то, что он может существовать месяцами без уведомления разработчика. Любой хакер, обнаруживший его, может использовать его самостоятельно или поделиться им с другими хакерами до того, как он станет общедоступным.

Термины «эксплойт нулевого дня» и «атака нулевого дня» взаимозаменяемы. Однако эксплойт нулевого дня — это просто программа, созданная на основе существующей уязвимости, а атака нулевого дня — результат этого эксплойта

Уязвимость нулевого дня средней степени тяжести затрагивает функцию VPN в Cisco ASA и Cisco FTD, позволяя неавторизованным удаленным злоумышленникам проводить атаки на существующие учетные записи.

Получив доступ к этим учетным записям, злоумышленники могут установить без клиентский сеанс SSL VPN в сети взломанной организации, что может иметь различные последствия в зависимости от конфигурации сети жертвы: "Данная уязвимость не позволяет злоумышленнику обойти аутентификацию. Для успешного создания VPN-сессии удаленного доступа требуются действительные учетные данные, включая действительный второй фактор, если настроена многофакторная аутентификация (MFA)".

Это не останавливает злоумышленников, которые, по данным Cisco, пытаются использовать эту уязвимость с августа этого года .

В прошлом месяце издание BleepingComputer сообщило о том, что банда IT-взломщиков Akira проникает в корпоративные сети почти исключительно через VPN-устройства Cisco, а компания SentinelOne, специализирующаяся на кибербезопасности, предположила, что это может происходить через неизвестную уязвимость.

Неделю спустя компания Rapid7 сообщила о том, что помимо Akira, программа Lockbit также использует недокументированную проблему безопасности в VPN-устройствах Cisco. Однако точный характер проблемы остался неясным.

В то время Cisco выпустила предупреждение о том, что взломы осуществлялись путем перебора учетных данных на устройствах без настроенного MFA.

На этой неделе компания Cisco подтвердила существование уязвимости нулевого дня, которая использовалась этими IT-взломщиками, и представила обходные пути в безопасности.

Однако обновления безопасности для затронутых продуктов пока недоступны.

Ярким примером атаки нулевого дня и ее последствий является Stuxnet - вредоносные программы, тип компьютерного червя, который заражал компьютеры под управлением Windows и распространялся через USB-накопители и другие компьютеры в сети. Он нанес ущерб иранским предприятиям по обогащению урана, используя программируемые логические контроллеры (ПЛК) производства Siemens, подключенные к ПК для вмешательства в центрифуги, ответственные за обогащение урана. Вредоносная программа была особенно требовательна к тому, где и на что она хотела нацелиться. вредоносное ПО

Считается, что Stuxnet является продуктом АНБ, нацеленным на иранские предприятия по обогащению урана. Он использовал уязвимость нулевого дня, известную как эксплойт диспетчера очереди печати, для распространения по сети. Вредоносное ПО было обнаружено в 2010 году, но считается, что оно существует с 2005 года.

Совсем недавно эксплойты нулевого дня были открытый для воздействия на Microsoft Exchange Server известной хакерской группой под названием HAFNIUM, которая действует из Китая. Эксплойты позволяют злоумышленнику получить доступ к учетным записям электронной почты и даже установить вредоносное ПО для долгосрочного доступа.

Никогда не оставляйте безопасность вашего устройства из-за неожиданных угроз. Инвестируйте в надежный VPN. Вопрос в том как выбрать лучший VPN для себя? VPN123Robot - это бот в телеграме, с помощью которого вы можете быть полностью уверены в своей кибербезопасности и конфиденциальности.

Поделитесь с нами своими мыслями в разделе комментариев ниже, и, как всегда, спасибо за прочтение!