Durante las últimas semanas, el equipo CSIRT de Truesec ha encontrado datos forenses que indican que el grupo Akira Ransomware podría estar explotando activamente una antigua vulnerabilidad de Cisco ASA (Adaptive Security Appliance) y FTD (Firepower Threat Defence) rastreada como CVE-2020-3259. La vulnerabilidad fue revelada el 6 de mayo de 2020 y permite a un atacante remoto no autenticado extraer contenido sensible de la memoria de un dispositivo afectado. Esto significa que el nombre de usuario y las contraseñas pueden recuperarse de la memoria en texto claro.
Un análisis de las ocho últimas misiones de respuesta a incidentes llevadas a cabo por Truesec, en las que se había desplegado el ransomware Akira y se confirmó que la VPN SSL Anyconnect de Cisco era el punto de entrada, mostró que al menos seis de los dispositivos comprometidos ejecutaban versiones diferentes del software vulnerable (mientras que en el caso de los dos restantes, no se disponía de datos suficientes para determinar con certeza si el dispositivo era vulnerable a CVE-2020-3259).
Los detalles técnicos y algunos de los datos forenses que apoyan los indicios de que CVE-2020-3259 está siendo explotado activamente se presentan más adelante en este artículo.
Seguir leyendo [EN]: Akira Ransomware and exploitation of Cisco Anyconnect vulnerability CVE-2020-3259 ⋆ Truesec