Alerte Cybersécurité : Vulnérabilité Zero-Day dans les VPN Cisco
Cisco a récemment mis en garde contre une vulnérabilité zero-day affectant son Adaptive Security Appliance (ASA) et le Cisco Firepower Threat Defense (FTD), qui est actuellement exploitée par des gangs de ransomware pour infiltrer les réseaux d’entreprises. Dans cet article, nous décomposons la vulnérabilité, désignée sous le nom de CVE-2023-20269, et vous fournissons des conseils pratiques pour mitiger le risque.
Concerné par cette vulnérabilité?
Dhala Cyberdéfense est là pour vous aider à renforcer votre sécurité.
Contactez nos expertsLe contexte : Une vulnérabilité zero-day exploitée
Identifiée sous le numéro CVE-2023-20269, cette vulnérabilité de gravité moyenne affecte la fonctionnalité VPN des appareils Cisco ASA et Cisco FTD, permettant à des attaquants non autorisés de mener des attaques par force brute contre des comptes existants.
Pour mieux comprendre ce genre de vulnérabilité, vous pouvez lire nos articles sur la vulnérabilité Super Admin MikroTik et sur les vulnérabilités de Sophos.
Les attaquants peuvent, en accédant à ces comptes, établir une session VPN SSL sans client au sein du réseau de l’organisation victime. Les répercussions de cette intrusion dépendent grandement de la configuration du réseau de la victime.
Plus d’informations sur cette vulnérabilité sont disponibles sur le site de Cisco et le NIST.
Détails techniques de la vulnérabilité
La faille CVE-2023-20269 réside dans l’interface des services web des dispositifs Cisco ASA et FTD, plus précisément au niveau des fonctions gérant l’authentification, l’autorisation et la comptabilité (AAA).
Celle-ci est due à une séparation incorrecte entre les fonctions AAA et d’autres caractéristiques du logiciel. Cette erreur permet à un attaquant d’envoyer des requêtes d’authentification à l’interface des services web pour influencer ou compromettre les composants d’autorisation.
Mesures d’atténuation
En attendant que Cisco ne propose une mise à jour de sécurité pour résoudre ce problème, il est vivement conseillé aux administrateurs système d’adopter les mesures suivantes :
- Utiliser les politiques d’accès dynamiques (DAP) pour bloquer les tunnels VPN avec DefaultADMINGroup ou DefaultL2LGroup.
- Mettre en œuvre des restrictions de la base de données utilisateur LOCAL en associant des utilisateurs spécifiques à un seul profil avec l’option ‘group-lock’, et prévenir les configurations VPN en définissant ‘vpn-simultaneous-logins’ à zéro.
Cisco recommande également de sécuriser les profils VPN Remote Access par défaut en dirigeant tous les profils non par défaut vers un serveur AAA “sinkhole” et d’activer la journalisation pour détecter rapidement d’éventuelles attaques.
Il est crucial de noter que la mise en place d’une authentification multifacteur (MFA) atténue considérablement le risque.
Protégez votre réseau avec Dhala Cyberdéfense
Face à des vulnérabilités aussi sérieuses, il est impératif de réagir rapidement et efficacement. Dhala Cyberdéfense vous accompagne dans la mise en place de mesures correctives efficaces pour protéger votre réseau d’entreprise. Contactez nos experts en cybersécurité dès aujourd’hui pour renforcer vos défenses.
Conclusion
La vulnérabilité zero-day dans les VPN Cisco souligne l’importance cruciale d’une cybersécurité proactive et réactive. Dans un monde où les menaces sont constamment en évolution, la confiance en un partenaire de sécurité fiable comme Dhala Cyberdéfense est plus importante que jamais. Ne laissez pas votre entreprise devenir la prochaine victime d’une attaque par ransomware.
