Akira ransomware эксплуатирует опасную уязвимость в решениях Cisco

В Cisco Adaptive Security Appliance присутствует уязвимость нулевого дня CVE-2023-20269. О ее наличии предупредили в Cisco.

Уязвимость имеет средний уровень риска и оценивается в 5.0 по шкале CVSS. Akira ransomware эксплуатирует ее для получения первоначального доступа к сетям. Проблема безопасности VPN позволяет атаковать актуальные учетные записи методом перебора. Причиной ее возникновения является некорректное разделение аутентификации, авторизации, учета (AAA) и других функций ПО. Это позволяет потенциальному злоумышленнику отправить запрос на аутентификацию через интерфейс веб-служб.

При использовании Cisco ASA 9.16 или более ранних версий бесклиентский сеанс SSL VPN не требует дополнительной авторизации при условии  ранее проведенной аутентификации. Чтобы данная схема атаки сработала, требуется включение SSL VPN хотя бы на одном интерфейсе, а также разрешение на бесклиентский протокол. Cisco Firepower Threat Defense оказался не подвержен данной проблеме именно потому, что не поддерживает работу бесклиентских сервисов SSL VPN.