Ενεργή επίθεση ransomware σε συσκευές ασφαλείας της Cisco με unpatched 0-day

[nnn]

Η Cisco επιβεβαίωσε την Πέμπτη την ύπαρξη μιας μη επιδιορθωμένης επί του παρόντος ευπάθειας zero-day, την οποία εκμεταλλεύονται οι χάκερ για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε δύο ευρέως χρησιμοποιούμενες συσκευές ασφαλείας που πωλεί.

Η ευπάθεια βρίσκεται στο Adaptive Security Appliance Software και στο Firepower Threat Defense της Cisco, τα οποία συνήθως συντομογραφούνται ως ASA και FTD. Η Cisco και οι ερευνητές γνωρίζουν από την περασμένη εβδομάδα ότι ένα συνδικάτο εγκληματιών ransomware με την ονομασία Akira αποκτούσε πρόσβαση στις συσκευές μέσω του spraying και του brute-forcing κωδικών πρόσβασης. Το password spaying, γνωστό και ως credential stuffing, περιλαμβάνει τη δοκιμή μιας ομάδας κοινώς χρησιμοποιούμενων κωδικών πρόσβασης για μεγάλο αριθμό ονομάτων χρήστη σε μια προσπάθεια να αποτραπεί ο εντοπισμός και το επακόλουθο κλείδωμα. Στις επιθέσεις brute-force, οι χάκερς χρησιμοποιούν ένα πολύ μεγαλύτερο σώμα κωδικών πρόσβασης έναντι ενός πιο περιορισμένου αριθμού ονομάτων χρήστη.

Συνεχιζόμενες επιθέσεις από (τουλάχιστον) τον Μάρτιο
"Ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια καθορίζοντας ένα προεπιλεγμένο προφίλ σύνδεσης/ομάδα διοχέτευσης κατά τη διεξαγωγή μιας επίθεσης brute force ή κατά τη δημιουργία μιας clientless SSL VPN συνόδου χρησιμοποιώντας έγκυρα διαπιστευτήρια", έγραψαν οι υπεύθυνοι της Cisco σε μια συμβουλευτική. "Μια επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει στον επιτιθέμενο να επιτύχει ένα ή και τα δύο από τα ακόλουθα:

• να εντοπίσει έγκυρα διαπιστευτήρια που θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν για τη δημιουργία μη εξουσιοδοτημένης συνεδρίας VPN απομακρυσμένης πρόσβασης.
• δημιουργία μιας συνόδου clientless SSL VPN(μόνο όταν εκτελείται η έκδοση 9.16 ή προγενέστερη του λογισμικού Cisco ASA).

Αναλυτικά : Arstechnica

[konig]

βρηκαν τα backdoors της nsa?
https://arstechnica.com/tech-policy/...tting-implant/

[BlueChris]

Βαριά τρύπα αυτή μιλάμε.. Και Cisco όχι ότι ναναι.

[Zus]

βρηκαν τα backdoors της nsa?
https://arstechnica.com/tech-policy/...tting-implant/

Η Huawei που κυνηγάνε μοιάζει αρνάκι άσπρο μου παχύ μπροστά στα λαμόγια μας.

[xaris2335]

Αυτό είναι μια μεγάλη απόδειξη ότι 100% ασφάλεια στο διαδύκτιο δεν παρέχεται.
Ακόμη και απο την cisco!!
anything & everything is hackable.

[fadasma]

Βαριά τρύπα αυτή μιλάμε.. Και Cisco όχι ότι ναναι.

Το κακό με τη Cisco σε σχέση με άλλους είναι οτι έχει πολύ μικρότερο χρόνο υποστήριξης, δηλ σταματάει να βγάζει patches πολύ νωρίτερα από άλλους.

[Pixel 57]

Ο άλλος στα αριστερά είναι ο ανήθικος hacker;

[netblues]

Που τα βρηκατε αυτα τα φυντανια?

[keysmith]

ολοι έχουν κατά καιρούς ξεφτιλιστεί (πχ πιο παλιά η αγαπημένη μου fortinet με τους fortigate να έχουν hardcoded συγκεκριμένο user/password backdoor. Γιατί ήταν εκεί; Ταχα για τεστ και ξεχάστηκε)
Το θέμα είναι ότι και έτσι είσαι υποχρεωμένος να έχεις τέτοια μηχανήματα για να σταματάς τους πολλούς και διαρκώς να ασχολείσαι να τα πατσάρεις. Και να μην εχεις με την δικαιολογία ότι είναι έτσι και αλλιως "τρύπια" είναι αυτοκτονικό. Δεν είναι "τρύπια" (για τους πολλούς έστω) μέχρι να ανακαλυφθεί η αδυναμία. Επίσης πολλές φορές αυτές οι επιθέσεις δεν είναι διαθέσιμες σε όλους ούτε η πολυπλοκότητά τους επιτρέπει σε όλους να τις εκτελέσουν.
Τελικά τι μπορείς να κάνεις; ίσως οι μεγάλοι οργανισμοί να χρειάζεται οι ίδιοι να "αναπτύξουν" δικούς τους firewalls σε συγκεκριμένα σημεία σε κανα linux ξέρω γω.. με δικά τους όμως tcp/ip libaries και πάλι η αστοχία περιμένει να συμβεί.. Μια πιο ρεαλιστική λύση θα ήταν να έχεις διπλά συστήματα στη σειρά με ίδια (περίπου) πολιτική ασφαλείας αλλά διαφορετικών κατασκευαστών (πχ Fortigate και Cisco ASA στην σειρά) αλλά αυτό εχει διπλές συνδρομές και διπλή συντήρηση παρακολούθηση. Θα πρέπει όμως να κάτσουν δύο αδυναμίες ταυτόχρονα για να κινδυνεύεις.