Vulnerabilidad de día cero en VPN de Cisco ASA y FTD

Cisco advierte sobre una vulnerabilidad de día cero identificada como CVE-2023-20269 y con puntaje CVSS de 5.0 en sus equipos Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD), la misma es explotada de forma continua por operaciones de ransomware para obtener acceso inicial a las redes corporativas.

Esta vulnerabilidad, de severidad media, impacta los servicios VPN de Cisco ASA y FTD lo cual podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de fuerza bruta en un intento de identificar combinaciones validas de nombres de usuarios y contraseñas, o permitir establecer una sesión SSL VPN sin cliente con un usuario autenticado.

El fallo se debe a una separación inadecuada entre las funciones AAA y otras características de software. Esto deriva a escenarios en los que un atacante puede enviar solicitudes de autenticación a la interfaz de servicios web para impactar o comprometer los componentes de autorización.

Producto y Versiones afectadas

A la fecha esta vulnerabilidad afecta los dispositivos Cisco que estén ejecutando una versión vulnerable del software Cisco ASA o FTD. Para determinar si un dispositivo es vulnerable debe cumplir todas las condiciones que se detallarán en la parte inferior dependiendo del vector de ataque.

Ataque de fuerza bruta

El ataque de fuerza bruta puede ejecutarse si se cumplen todas las siguientes condiciones:

  1. Al menos un usuario está configurado con una contraseña en la base de datos LOCAL o la autenticación de gestión HTTPS apunta a un servidor AAA válido.
  2. La VPN SSL está habilitada en al menos una interfaz o la VPN IKEv2 está habilitada en al menos una interfaz.

Establecimiento no autorizado de sesión VPN SSL sin cliente

Para establecer con éxito una sesión VPN SSL sin cliente, deben cumplirse todas las siguientes condiciones:

  1. El atacante dispone de credenciales válidas para un usuario presente en la base de datos LOCAL o en el servidor AAA utilizado para la autenticación de gestión HTTPS. Estas credenciales podrían obtenerse mediante técnicas de ataque de fuerza bruta.
  2. El dispositivo ejecuta el software Cisco ASA versión 9.16 o anterior.
  3. VPN SSL habilitado en al menos una interfaz.
  4. El protocolo SSL VPN sin cliente está permitido en la DfltGrpPolicy.

Este ataque no afecta al software Cisco FTD pues no cuenta con la característica SSL VPN sin cliente.

Workaround

Cisco publicará una actualización de seguridad para abordar la vulnerabilidad CVE-2023-20269, pero hasta que las correcciones estén disponibles, se recomienda a los administradores del sistema que tomen las siguientes medidas:

  • Utilizar DAP (Dynamic Access Policies) para detener los túneles VPN con DefaultADMINGroup o DefaultL2LGroup.
  • Denegar el acceso con Default Group Policy ajustando vpn-simultaneous-logins para DfltGrpPolicy a cero, y asegurándose de que todos los perfiles de sesión VPN apuntan a una política personalizada.
  • Implemente las restricciones de la base de datos de usuarios LOCAL bloqueando usuarios específicos a un único perfil con la opción ‘group-lock’, y evite las configuraciones de VPN ajustando ‘vpn-simultaneous-logins’ a cero.

Recomendaciones

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Para determinar la exposición de las vulnerabilidades relacionadas con Software Cisco ASA, FMC, FTD y FXOS, puede ingresar aquí.
  • Aplicar el workaround.

Referencias