国精产品一品二品国精在线观看,熟女泄火一区二区三区在线,四虎影视永久在线观看,无码毛片视频一区二区本码

CVE-2023-20269 漏洞主要影響 Cisco ASA 和 Cisco FTD 的 VPN 功能，允許未經(jīng)授權(quán)的遠程網(wǎng)絡(luò)攻擊者對用戶現(xiàn)有賬戶進行暴力攻擊，網(wǎng)絡(luò)攻擊者通過訪問帳戶，可以在被破壞公司的網(wǎng)絡(luò)中建立無客戶端 SSL VPN 會話。

值得一提的是，上個月，Bleeping Computer 曾報道稱 Akira 勒索軟件組織已開始通過思科 VPN 設(shè)備入侵某些企業(yè)的內(nèi)部網(wǎng)絡(luò)。當(dāng)時，網(wǎng)絡(luò)安全公司 SentinelOne 推測網(wǎng)絡(luò)攻擊者可能利用了一個未知安全漏洞。

一周后，Rapid7 表示除 Akira 外，Lockbit 勒索軟件組織也在利用思科 VPN 設(shè)備中一個未記錄的安全漏洞，但沒有透露該安全漏洞的更多其它細(xì)節(jié)。事后不久，思科就發(fā)布了一份咨詢警告，稱上述違規(guī)行為是網(wǎng)絡(luò)攻擊者通過在未配置 MFA 的設(shè)備上強行使用憑據(jù)，才成功入侵部分公司的內(nèi)部網(wǎng)絡(luò)。

本周，思科證實存在一個被勒索軟件團伙利用的零日漏洞，并在臨時安全公告中提供了解決方法。不過，受影響產(chǎn)品的安全更新尚未發(fā)布。

漏洞詳情

CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 設(shè)備的 web 服務(wù)接口內(nèi)，由于未正確分離 AAA 功能和其他軟件功能造成。（具有處理身份驗證、授權(quán)和計費（AAA）功能的功能）。

這就導(dǎo)致攻擊者可以向 web 服務(wù)接口發(fā)送身份驗證請求以影響或破壞授權(quán)組件的情況，由于這些請求沒有限制，網(wǎng)絡(luò)攻擊者能夠使用無數(shù)的用戶名和密碼組合來強制使用憑據(jù)，從而避免受到速率限制或被阻止濫用。

要使暴力攻擊奏效，Cisco 設(shè)備必須滿足以下條件：

至少有一個用戶在 LOCAL 數(shù)據(jù)庫中配置了密碼，或者 HTTPS 管理身份驗證指向有效的 AAA 服務(wù)器；

至少在一個接口上啟用了 SSL VPN，或者至少在一一個接口中啟用了 IKEv2 VPN。

如果目標(biāo)設(shè)備運行 Cisco ASA 軟件 9.16 版或更早版本，在無需額外授權(quán)情況下，網(wǎng)絡(luò)攻擊者可以在成功身份驗證后建立無客戶端 SSL VPN 會話。

要建立此無客戶端 SSL VPN 會話，目標(biāo)設(shè)備需要滿足以下條件：

攻擊者在 LOCAL 數(shù)據(jù)庫或用于 HTTPS 管理身份驗證的 AAA 服務(wù)器中擁有用戶的有效憑據(jù)，這些證書可以使用暴力攻擊技術(shù)獲得；

設(shè)備正在運行 Cisco ASA 軟件 9.16 版或更早版本；

至少在一個接口上啟用了 SSL VPN；

DfltGrpPolicy 中允許使用無客戶端 SSL VPN 協(xié)議。

如何緩解漏洞？

使用 DAP（動態(tài)訪問策略）停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道；

通過將 DfltGrpPolicy 的 vpn 同時登錄調(diào)整為零，并確保所有 vpn 會話配置文件都指向自定義策略，拒絕使用默認(rèn)組策略進行訪問；

通過使用 “組鎖定” 選項將特定用戶鎖定到單個配置文件來實現(xiàn) LOCAL 用戶數(shù)據(jù)庫限制，并通過將 “VPN 同時登錄” 設(shè)置為零來阻止 VPN 設(shè)置。

Cisco 還建議通過將所有非默認(rèn)配置文件指向 AAA 服務(wù)器（虛擬 LDAP 服務(wù)器）來保護默認(rèn)遠程訪問 VPN 配置文件，并啟用日志記錄以盡早發(fā)現(xiàn)潛在網(wǎng)絡(luò)攻擊事件。

然后，需要注意的是，多因素身份驗證（MFA）可以有效降低網(wǎng)絡(luò)安全風(fēng)險，原因是即使網(wǎng)絡(luò)攻擊者成功強制使用帳戶憑據(jù)，也不足以劫持 MFA 安全帳戶并使用它們建立 VPN 連接。