Ransomwaregroepering buit vier jaar oude kwetsbaarheid in Cisco AnyConnect SSL VPN uit
De ransomwaregroepering Akira buit een vier jaar oude kwetsbaarheid in Cisco's AnyConnect SSL VPN uit om toegang te krijgen tot IT-systemen van bedrijven. Een patch is sinds mei 2020 beschikbaar, maar niet alle implementaties zijn daadwerkelijk geüpdatet.
Dit meldt beveiligingsbedrijf TrueSec op basis van een analyse van aanvallen door Akira, waarbij AnyConnect SSL VPN als toegangspunt tot het netwerk van bedrijven is gebruikt. Het gaat om CVE-2020-3259, een kwetsbaarheid in de webinterface van Cisco Adaptive Security Appliance (ASA) en Cisco Firepower Threat Defense (FTD). Het lek stelt aanvallers in staat in het geheugen opgeslagen secrets te extraheren, en zo onder meer wachtwoorden en gebruikersnamen in handen te krijgen.
TrueSec wijst erop dat er geen exploit code openbaar is gemaakt voor dit lek. Het vermoedt dan ook dat de aanvallers een eigen exploit hebben ontwikkeld, of een dergelijke exploit via een derde partij hebben aangeschaft. Het meldt bij een analyse van aanvallen bij klanten te zien dat aanvallers legitieme inloggegevens gebruiken die recent zijn gebruikt door legitieme gebruikers. Gecompromitteerde accounts waren daarnaast in alle gevallen voorzien van een sterk wachtwoord, terwijl de gebruikersnaam geen gebruikelijke naamconventie volgde. Er zijn geen aanwijzigingen van een phishingaanval of het aankopen van inloggegevens op het darkweb.
Akira is een ransomwaregroepering. Eenmaal binnengedrongen op IT-systemen van slachtoffers verspreidt de groep dan ook ransomware om data van slachtoffers in gijzeling te nemen en bedrijven onder druk te zetten.
Meer informatie is hier beschikbaar.
