# CVE-2023-20269 > [!critical] Zero-day no Cisco ASA/FTD VPN - explorado pelo ransomware Akira e LockBit para acesso inicial > Ausência de rate limiting na função VPN SSL do Cisco ASA e FTD permite brute-force irrestrito de credenciais sem bloqueio de conta. Explorada ativamente pelos grupos **Akira** e **LockBit** como vetor de acesso inicial massivo. ## Visão Geral A [[cve-2023-20269|CVE-2023-20269]] documenta uma falha de design no Cisco ASA e Firepower Threat Defense (FTD) onde a interface de VPN SSL não implementa rate limiting ou bloqueio de conta para tentativas de login. Isso permite que atacantes realizem ataques de força bruta irrestrita contra contas VPN corporativas sem qualquer mecanismo de detecção ou bloqueio automático. Divulgada como zero-day em setembro de 2023, esta CVE foi imediatamente explorada pelos grupos de ransomware Akira e LockBit em ataques de larga escala. O Akira Ransomware tornou-se especialmente notório por utilizar este vetor de acesso inicial para comprometer organizações que utilizavam VPN Cisco sem MFA habilitado - um cenário infelizmente comum em PMEs brasileiras. A Cisco confirmou exploração ativa e emitiu orientações de mitigação, mas a falha de design fundamental permanece um risco para organizações que não habilitaram autenticação multifator em suas VPNs Cisco, especialmente relevante dado o uso massivo de Cisco ASA em infraestruturas corporativas brasileiras. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 9.1 (Critical) | | **Tipo** | Missing Rate Limiting + Account Lockout | | **Produto** | Cisco ASA, Cisco FTD | | **Superfície** | Interface VPN SSL (porta 443) | | **Pré-requisito** | Nenhum - acesso externo à interface VPN | | **Patch** | Setembro/Outubro 2023 | ## Exploração pelo Akira Ransomware O grupo Akira desenvolveu uma métodologia eficaz: 1. Varredura de IPs com Cisco ASA/FTD exposto (Shodan/Censys) 2. Coleta de usernames via OSINT (LinkedIn, emails corporativos vazados) 3. Brute-force de senha usando wordlists de credenciais vazadas 4. Autenticação com credencial válida na VPN corporativa 5. Movimento lateral e implantação de ransomware **TTPs observados:** [[t1110-brute-force|T1110]] · [[t1133-external-remote-services|T1133]] · [[t1078-valid-accounts|T1078]] · [[t1486-data-encrypted-for-impact|T1486]] ## Detecção e Defesa **Mitigação imediata (mais importante):** - **Habilitar MFA em todas as contas VPN** - medida mais efetiva contra brute-force - Aplicar patches Cisco ASA/FTD disponíveis - Implementar bloqueio de IP após N tentativas falhas via ACLs **Monitoração:** - Alertar em > 5 tentativas de login VPN falhas por minuto por IP - Monitorar logins VPN fora do horário comercial e de localizações incomuns **Mitigações MITRE:** [[m1036-account-use-policies|M1036]] · [[m1032-multi-factor-authentication|M1032]] · [[m1051-update-software|M1051]] > [!latam] Relevância LATAM > O ransomware **Akira** tem operações documentadas no Brasil e em outros países latinoamericanos, com foco em PMEs que utilizam Cisco ASA para VPN corporativa sem MFA. Organizações brasileiras com VPN Cisco devem verificar urgentemente se MFA está habilitado - é a mitigação mais crítica. ## Referências - [Cisco Security Advisory cisco-sa-asaftd-ravpn-auth-8LyfCkeC](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC) - [Rapid7 - Akira Exploitation](https://www.rapid7.com/blog/post/2023/08/31/rapid7-observed-exploitation-of-cisco-asa-ssl-vpns-CVE-2023-20269/) - [BleepingComputer - Akira & LockBit](https://www.bleepingcomputer.com/news/security/akira-and-lockbit-ransomware-exploit-cisco-vpn-zero-day/)