Ataques contra productos SSLVPN en infraestructura crítica
La explotación de las vulnerabilidades requiere VPN SSL parcheada, VPN IPsec IKEv2 con «servicios de cliente» o exposición de la interfaz de administración HTTPS.1.
Este aviso está destinado principalmente a empresas socialmente importantes. Otras empresas deberían actualizar sus productos Cisco según las rutinas normales.
Se desconoce el vector de entrada en la campaña. Esto significa que puede haber una o más vulnerabilidades de día cero que permiten a un atacante externo, bajo ciertas condiciones, eludir la autenticación, establecerse en el dispositivo y obtener privilegios administrativos.
Las vulnerabilidades mencionadas por Cisco requieren autenticación para ser explotadas o, en el peor de los casos, permiten una denegación de servicio. Cisco ha publicado actualizaciones de seguridad que abordan estas vulnerabilidades2.
Las empresas que utilizan Cisco ASA VPN deben implementar las recomendaciones de Cisco para la aplicación de parches y la denegación de compromiso.1,2. El NCSC quiere comentarios sobre hallazgos concretos en dispositivos Cisco y/o tráfico observado entre la infraestructura controlada por actores y los dispositivos Cisco.
Sobre la base de una o más vulnerabilidades desconocidas de día cero en Cisco ASA VPN, las empresas de importancia social también deberían implementar las siguientes medidas:
- Instalar actualizaciones de seguridad2
- Implemente los consejos de Cisco para evitar compromisos1,2
- Asegúrese de que las soluciones VPN de Cisco ASA registren en un receptor de registros centralizado
- El inicio de sesión en las soluciones VPN de Cisco ASA debe ser lo más detallado posible hasta que se identifique el vector de entrada.
- Geobloquea el acceso solo a países desde los que debes tener conexiones
- Permitir solo el tráfico entrante de los países requeridos (geocercado)
- Bloquear el acceso desde infraestructuras inseguras, como servicios de anonimización (proveedores de VPN y nodos de salida Tor) y proveedores de VPS.
A largo plazo, el NCSC recomienda, basándose en las vulnerabilidades críticas habituales en los productos VPN, que las empresas migren de la categoría de productos SSLVPN/VPN sin cliente a IPsec con IKEv2. Esta es una recomendación independiente del proveedor de VPN; La propia Cisco se basa en las recomendaciones de la NSA a este respecto.3donde es posible reemplazar SSLVPN con IPsec IKEv2 siempre que también desactive los «servicios de cliente»4.
NCSC recomienda a las empresas que necesitan ayuda que se comuniquen con el CERT o MSSP de su sector. Si el negocio no tiene un acuerdo fijo con MSSP, nos remitimos al esquema de calidad de NSM para la gestión de incidencias.5.
Referencias:
2https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response