Af Eskil Sørensen, 04/09/23
Siden marts 2023 (og muligvis endnu tidligere) har datterselskaber af Akira- og LockBit-ransomware-operatørerne kompromitteret organisationer via Cisco ASA SSL VPN-apparater.
Det skriver Help Net Security på baggrund af en rapport fra sikkerhedfirmaet Rapid7. Heri hedder det, at angribere har udnyttet svage adgangskoder eller standardadgangskoder, ligesom der i andre tilfælde har være tale om målrettede brute-force-angreb på ASA-apparater, hvor multifaktorautentificering (MFA) enten ikke var aktiveret eller ikke blev håndhævet for alle brugere.
Også en repræsentant for Ciscos Product Security Incident Response Team (PSIRT) har bekræftet at have set tilfælde med angreb mod organisationer, der ikke har konfigureret MFA til deres VPN-brugere.
Af rapporten fremgår det, at Rapid7 har undersøgt elleve hændelser, der involverer indtrængen i Cisco ASA-apparater. Her kunne det bl.a. konstateres, at
- kompromitterede apparater var på forskellige patch-niveauer
- logs pegede på automatiserede angreb (dvs. mange mislykkede loginforsøg forekommer inden for millisekunder fra hinanden)
- Brugernavne som admin, kali, cisco, gæst, test, sikkerhed osv. brugt i angrebsforsøg, hvilket peger på brute force-angreb
Researcherne har også haft adgang til en manual fra Dark Web fra begyndelsen af 2023. Manualen er angiveligt udarbejdet af en såkaldt ’initial acces broker’, der må formodes at have specialiseret sig i at kunne give adgang til forskellige løsninger. Denne broker hævder at have kompromitteret 4.865 Cisco SSL VPN-tjenester og 9.870 Fortinet VPN-tjenester med det kombinationen af det simple brugernavn og lige så simple adgangkode: Test/test.
Som researcherne fra Rapid7 peger på, er det muligt, at manualen har bidraget til stigningen i brute force-angreb rettet mod Cisco ASA VPN'er, set i lyset af en øget aktivitet på opslag relateret til brokeren på Dark Web.
Både Cisco og Rapid7 har rådgivet organisationer til at beskytte adgangen til deres VPN-enheder med MFA.
Links:
https://www.helpnetsecurity.com/2023/08/31/ransomware-cisco-vpn/