Angrep mot SSLVPN-produkter i kritisk infrastruktur

Publisert: 24.04.2024

Oppdatert: 24.04.2024

En avansert trusselaktør utnytter flere nulldagssårbarheter i Cisco ASA VPN hos kritisk infrastruktur¹. Kampanjen har pågått siden november 2023. Det er mulig at fjernaksessløsninger fra andre leverandører også er berørt.

Utnyttelse av sårbarhetene krever påskrudd SSL VPN, IPsec IKEv2 VPN med "client services", eller eksponering av HTTPS-administrasjonsgrensesnitt¹.

Dette varselet er primært tiltenkt samfunnsviktige virksomheter. Andre virksomheter bør oppdatere sine Cisco-produkter etter normale rutiner.

Inngangsvektor i kampanjen er ukjent. Det betyr at det kan finnes én eller flere nulldagssårbarheter som lar en ekstern angriper under visse forutsetninger forbigå autentisering, få fotfeste på enheten og oppnå administratorrettigheter.

Sårbarhetene som omtales av Cisco krever enten autentisering for å utnyttes eller tillater i verste fall tjenestenekt. Cisco har publisert sikkerhetsoppdateringer som adresserer disse sårbarhetene².

Virksomheter som bruker Cisco ASA VPN bør iverksette Cisco sine anbefalinger for patching og avkreftelse av kompromittering¹,². NCSC ønsker tilbakemelding ved konkrete funn på Cisco-enheter og/eller observert trafikk mellom aktørkontrollert infrastruktur og Cisco-enheter.

På bakgrunn av én eller flere ukjente nulldagssårbarheter i Cisco ASA VPN bør samfunnsviktige virksomheter i tillegg implementere følgende tiltak:

Installer sikkerhetsoppdateringer²
Gjennomfør Cisco sine råd for å avkrefte kompromittering¹,²
Sørg for at Cisco ASA VPN-løsninger logger til et sentralisert loggmottak
Logging på Cisco ASA VPN-løsninger bør være så verbose som mulig frem til inngangsvektor er identifisert
Geoblokker tilgang til kun land man må ha tilkoblinger fra
Tillat kun innkommende trafikk fra nødvendige land (geofencing)
Blokker tilgang fra usikker infrastruktur som anonymiseringstjenester (VPN-leverandører og Tor exit-noder) og VPS-tilbydere

På lengre sikt anbefaler NCSC, på bakgrunn av regelmessige kritiske sårbarheter i VPN-produkter, at virksomheter migrerer vekk fra produktkategorien SSLVPN/klientløs VPN over til IPsec med IKEv2. Dette er en anbefaling som står seg uavhengig av VPN-leverandør; Cisco selv bygger på NSAs anbefalinger om dette³, hvor det er mulig å erstatte SSLVPN med IPsec IKEv2 så fremt man også skrur av "client services"⁴.

NCSC anbefaler virksomheter med behov for bistand å ta kontakt med sin sektorCERT eller MSSP. Dersom virksomheten ikke har en fast avtale med MSSP henviser vi til NSMs kvalitetsordning for hendelseshåndtering⁵.

Referanser:

¹https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/

²https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

³https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF

⁴https://community.cisco.com/t5/security-knowledge-base/configuring-ipsec-ikev2-remote-access-vpn-with-cisco-secure/ta-p/4485165

⁵https://nsm.no/kvalitetsordning