CVE-2023-20269 漏洞主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能，允许未经授权的远程网络攻击者对用户现有账户进行暴力攻击，网络攻击者通过访问帐户，可以在被破坏公司的网络中建立无客户端 SSL VPN 会话。

值得一提的是，上个月，Bleeping Computer 曾报道称 Akira 勒索软件组织已开始通过思科 VPN 设备入侵某些企业的内部网络。当时，网络安全公司 SentinelOne 推测网络攻击者可能利用了一个未知安全漏洞。

一周后，Rapid7 表示除 Akira 外，Lockbit 勒索软件组织也在利用思科 VPN 设备中一个未记录的安全漏洞，但没有透露该安全漏洞的更多其它细节。事后不久，思科就发布了一份咨询警告，称上述违规行为是网络攻击者通过在未配置 MFA 的设备上强行使用凭据，才成功入侵部分公司的内部网络。

本周，思科证实存在一个被勒索软件团伙利用的零日漏洞，并在临时安全公告中提供了解决方法。不过，受影响产品的安全更新尚未发布。

漏洞详情

CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 设备的 web 服务接口内，由于未正确分离 AAA 功能和其他软件功能造成。（具有处理身份验证、授权和计费（AAA）功能的功能）。

这就导致攻击者可以向 web 服务接口发送身份验证请求以影响或破坏授权组件的情况，由于这些请求没有限制，网络攻击者能够使用无数的用户名和密码组合来强制使用凭据，从而避免受到速率限制或被阻止滥用。

要使暴力攻击奏效，Cisco 设备必须满足以下条件：

至少有一个用户在 LOCAL 数据库中配置了密码，或者 HTTPS 管理身份验证指向有效的 AAA 服务器；

至少在一个接口上启用了 SSL VPN，或者至少在一一个接口中启用了 IKEv2 VPN。

如果目标设备运行 Cisco ASA 软件 9.16 版或更早版本，在无需额外授权情况下，网络攻击者可以在成功身份验证后建立无客户端 SSL VPN 会话。

要建立此无客户端 SSL VPN 会话，目标设备需要满足以下条件：

攻击者在 LOCAL 数据库或用于 HTTPS 管理身份验证的 AAA 服务器中拥有用户的有效凭据，这些证书可以使用暴力攻击技术获得；

设备正在运行 Cisco ASA 软件 9.16 版或更早版本；

至少在一个接口上启用了 SSL VPN；

DfltGrpPolicy 中允许使用无客户端 SSL VPN 协议。

如何缓解漏洞？

使用 DAP（动态访问策略）停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道；

通过将 DfltGrpPolicy 的 vpn 同时登录调整为零，并确保所有 vpn 会话配置文件都指向自定义策略，拒绝使用默认组策略进行访问；

通过使用 “组锁定” 选项将特定用户锁定到单个配置文件来实现 LOCAL 用户数据库限制，并通过将 “VPN 同时登录” 设置为零来阻止 VPN 设置。

Cisco 还建议通过将所有非默认配置文件指向 AAA 服务器（虚拟 LDAP 服务器）来保护默认远程访问 VPN 配置文件，并启用日志记录以尽早发现潜在网络攻击事件。

然后，需要注意的是，多因素身份验证（MFA）可以有效降低网络安全风险，原因是即使网络攻击者成功强制使用帐户凭据，也不足以劫持 MFA 安全帐户并使用它们建立 VPN 连接。