Cisco a confirmé jeudi l’existence d’une vulnérabilité Zero Day, actuellement non corrigée, que les pirates informatiques exploitent pour obtenir un accès non autorisé à deux appareils de sécurité largement utilisés qu’il vend.
La vulnérabilité réside dans le logiciel Adaptive Security Appliance de Cisco et dans sa Firepower Threat Defense, qui sont généralement abrégés en ASA et FTD. Cisco et les chercheurs savaient depuis la semaine dernière qu’un syndicat du crime de ransomware appelé Akira accédait aux appareils grâce à la pulvérisation de mots de passe et au forçage brutal. La pulvérisation de mots de passe, également connue sous le nom de credential stuffing, consiste à essayer une poignée de mots de passe couramment utilisés pour un grand nombre de noms d’utilisateur dans le but d’empêcher la détection et les verrouillages ultérieurs. Dans les attaques par force brute, les pirates informatiques utilisent un corpus beaucoup plus important de mots de passe sur un nombre plus limité de noms d’utilisateur.
Attaques en cours depuis (au moins) mars
« Un attaquant pourrait exploiter cette vulnérabilité en spécifiant un profil de connexion/un groupe de tunnels par défaut tout en menant une attaque par force brute ou en établissant une session VPN SSL sans client à l’aide d’informations d’identification valides », ont écrit les responsables de Cisco dans un avis. « Un exploit réussi pourrait permettre à l’attaquant d’atteindre l’un ou les deux des objectifs suivants :
- Identifiez les informations d’identification valides qui pourraient ensuite être utilisées pour établir une session VPN d’accès à distance non autorisée.
- Établissez une session VPN SSL sans client (uniquement lors de l’exécution du logiciel Cisco ASA version 9.16 ou antérieure).
L’ASA est un dispositif de sécurité tout-en-un qui fournit une protection par pare-feu, antivirus, prévention des intrusions et réseau privé virtuel. Le FTD est le périphérique de nouvelle génération de Cisco qui combine les capacités ASA avec une console de gestion plus fine et d’autres fonctionnalités plus avancées. La vulnérabilité, identifiée comme CVE-2023-20269, provient de la séparation incorrecte par les appareils de l’authentification, de l’autorisation et de la comptabilité lors de l’accès à distance entre leurs fonctionnalités VPN, de gestion HTTPS et VPN de site à site. Il a un indice de gravité de 5,0 sur 10 possibles.
Des chercheurs de la société de sécurité Rapid7 ont rapporté la semaine dernière avoir observé des attaques de type credential stuffing et brute-force contre les appareils ASA depuis au moins mars dernier. Les attaques provenaient d’Akira et ciblaient des appareils sur lesquels une authentification multifacteur n’était pas appliquée pour tout ou partie de ses utilisateurs, ont indiqué les chercheurs.
« Rapid7 a identifié au moins 11 clients ayant subi des intrusions liées à Cisco ASA entre le 30 mars et le 24 août 2023 », indique le message du 29 août intitulé « En état de siège : Rapid7-Observed Exploitation of Cisco ASA SSL VPNs ». « Notre équipe a retracé l’activité malveillante jusqu’à une appliance ASA desservant les VPN SSL pour les utilisateurs distants. Les correctifs des appliances ASA variaient selon les appliances compromises : Rapid7 n’a identifié aucune version particulière particulièrement susceptible d’être exploitée.
Les attaques, comme l’illustre une image incluse dans la publication Rapid7, dirigeaient souvent plusieurs tentatives de connexion vers une cible en succession rapide. Bien que les deux tentatives de connexion capturées dans le journal d’activité illustré aient échoué, les attaquants dans certains cas « se sont authentifiés avec succès dès la première tentative, ce qui peut indiquer que les comptes des victimes utilisaient des informations d’identification faibles ou par défaut ».