CVE-2023-20269

Cisco Adaptive Security Appliance and Firepower Threat Defense

ВЕРОЯТНОСТЬ 0.9%
Дата обнаружения

2023-09-13

Официальное описание

Cisco Adaptive Security Appliance and Firepower Threat Defense contain an unauthorized access vulnerability that could allow an unauthenticated, remote attacker to conduct a brute force attack in an attempt to identify valid username and password combinations or establish a clientless SSL VPN session with an unauthorized user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-20269 — это уязвимость в компоненте удаленного доступа VPN (Remote Access VPN) устройств Cisco ASA и Cisco FTD. Она обусловлена ненадлежащим разделением уровней аутентификации, авторизации и учета (AAA).

Злоумышленник может использовать эту уязвимость для: 1. Проведения атак методом перебора (brute force) с целью выявления валидных пар логин/пароль, так как устройство по-разному отвечает на попытки входа в зависимости от корректности данных. 2. Установления беспарольного (clientless) SSL VPN сеанса с неавторизованным пользователем (при определенных конфигурациях).

Уязвимость затрагивает устройства, на которых включен сервис AnyConnect или Clientless SSL VPN.

Как исправить

Основным способом устранения является обновление программного обеспечения до версий, в которых данная проблема исправлена.

Для Cisco ASA: Обновитесь до версий 9.14.4.24, 9.16.4.57, 9.18.3.56, 9.19.1.28 или более новых веток.

Для Cisco FTD: Обновитесь до версий 7.0.6.1, 7.1.0.3, 7.2.5.1 или более новых веток.

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие настройки для минимизации рисков:

  1. Разделение DefaultWEBVPNGroup и DefaultRAGroup Злоумышленники часто атакуют стандартные профили. Необходимо перенаправить аутентификацию на специфическую AAA-патерну.
tunnel-group DefaultWEBVPNGroup general-attributes
authentication-server-group LOCAL
  1. Использование сертификатов для аутентификации Настройка аутентификации по сертификатам (Certificate-based authentication) делает атаку методом перебора невозможной.
tunnel-group <YOUR_GROUP_NAME> webvpn-attributes
authentication certificate
  1. Ограничение доступа по IP (Control Plane ACL) Создайте ACL для ограничения доступа к интерфейсу управления и VPN только с доверенных IP-адресов.
access-list VPN_ONLY_ALLOW line 1 extended permit ip <TRUSTED_NETWORK> <MASK> any
access-group VPN_ONLY_ALLOW in interface outside control-plane

  1. Использование внешней AAA-аутентификации с блокировкой Настройте внешние серверы (ISE, RADIUS) для блокировки учетных записей после нескольких неудачных попыток входа.

  2. Отключение Clientless SSL VPN Если вы не используете доступ через браузер, отключите этот функционал.

group-policy <POLICY_NAME> attributes
vpn-tunnel-protocol ssl-client
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей