Ongepatchte implementaties van Cisco's AnyConnect SSL VPN zijn doelwit van Akira, een cybercrimegroepering die zich specifiek richt op ransomware. Een patch is sinds mei 2020 beschikbaar, maar nog altijd zijn niet alle systemen daadwerkelijk geüpdatet. De aanvallers spelen hierop in.
Dit meldt beveiligingsbedrijf TrueSec, dat de aanvallen van Akira analyseerde. De aanvallers maken gebruik van CVE-2020-3259, een kwetsbaarheid in de webinterface van zowel Cisco Adaptive Security Appliance (ASA) en Cisco Firepower Threat Defense (FTD). Het beveiligingsprobleem maakt het mogelijk opgeslagen secrets uit het geheugen op te halen. Zo kunnen aanvallers onder meer inloggegevens in handen krijgen.
TrueSec meldt bij zeker acht aanvallen patronen te hebben gezien die wijzen op het uitbuiten van deze kwetsbaarheid. Zo maakten de aanvallers in alle gevallen gebruik van authentieke inloggegevens van legitieme gebruikers die kort daarvoor nog zelf inlogde. In alle gevallen zijn de accounts voorzien van een uniek wachtwoord en volgende gebruikersnamen niet de gebruikelijke naamgevingsconventies. Er zijn geen aanwijzigingen dat de inloggegevens zijn buitgemaakt via bijvoorbeeld een phishingaanval.
Akira gebruikt AnyConnect SSL VPN-implementaties als springplank naar de rest van het netwerk. Het doel daarbij is het besmetten van systemen met ransomware, om zo slachtoffers onder druk te kunnen zetten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.