Vulnerabilities ›

CVE-2023-20269

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Cisco ASA and Firepower Threat Defense Unauthorized Access Vulnerability

                    Published: Sep 13, 2023                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Cisco Adaptive Security Appliance and Firepower Threat Defense Unauthorized Access Vulnerability — Cisco Adaptive Security Appliance and Firepower Threat Defense contain an unauthorized access vulnerability that could allow an unauthenticated, remote attacker to conduct a brute force attack in an attempt to identify valid username and password combinations or establish a clientless SSL VPN session with an unauthorized user.

🤖 AI Executive Summary

Cisco ASA and Firepower Threat Defense contain a critical unauthorized access vulnerability (CVSS 9.0) allowing unauthenticated remote attackers to conduct brute force attacks against administrative credentials or establish unauthorized clientless SSL VPN sessions. This vulnerability is actively exploited and poses an immediate threat to organizations relying on these devices as primary security perimeters. Immediate patching is essential for all affected deployments.

📄 Description (Arabic)

تحتوي أجهزة Cisco Adaptive Security Appliance و Firepower Threat Defense على ثغرة وصول غير مصرح به تمكن المهاجمين البعيدين من إجراء هجمات القوة الغاشمة لتحديد مجموعات أسماء المستخدمين وكلمات المرور الصحيحة. يمكن للمهاجمين أيضًا إنشاء جلسات SSL VPN بدون عميل بدون تفويض مناسب. الثغرة تؤثر على الأجهزة التي تعمل بإصدارات معينة من البرامج الثابتة. هذه الثغرة لها استغلال نشط معروف وتتطلب تطبيق التصحيحات الأمنية بشكل عاجل.

🤖 ملخص تنفيذي (AI)

تحتوي أجهزة Cisco ASA و Firepower Threat Defense على ثغرة وصول غير مصرح به حرجة (CVSS 9.0) تسمح للمهاجمين البعيدين غير المصرحين بإجراء هجمات القوة الغاشمة ضد بيانات اعتماد المسؤولين أو إنشاء جلسات VPN SSL بدون عميل غير مصرح بها. يتم استغلال هذه الثغرة بنشاط وتشكل تهديداً فورياً للمنظمات التي تعتمد على هذه الأجهزة كحدود أمان أساسية. يعتبر التصحيح الفوري ضرورياً لجميع النشرات المتأثرة.

🤖 AI Intelligence Analysis Analyzed: Apr 21, 2026 01:37

🇸🇦 Saudi Arabia Impact Assessment

Critical impact on Saudi banking sector (SAMA-regulated institutions), government agencies (NCA, NCSC), and critical infrastructure operators (ARAMCO, SEC, water/electricity utilities). Cisco ASA/FTD devices are extensively deployed as primary perimeter security in Saudi organizations. Exploitation could lead to unauthorized administrative access, VPN session hijacking, lateral movement into internal networks, and potential data exfiltration. Telecom operators (STC, Mobily, Zain) and healthcare institutions are also significantly at risk. The brute force capability directly threatens compliance with SAMA CSF and NCA ECC 2024 requirements.

🏢 Affected Saudi Sectors

Banking and Financial Services (SAMA-regulated) Government and Public Administration (NCA, NCSC) Critical Infrastructure (Energy, Water, Electricity) Telecommunications (STC, Mobily, Zain) Healthcare and Medical Institutions Oil and Gas (ARAMCO, contractors) Defense and Security Agencies

🎯 MITRE ATT&CK Techniques

T1110 - Brute Force T1110.001 - Password Guessing T1110.004 - Credential Stuffing T1021.001 - Remote Services: SSH T1021.002 - Remote Services: RDP T1078 - Valid Accounts T1133 - External Remote Services T1556 - Modify Authentication Process

⚖️ Saudi Risk Score (AI)

9.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Cisco ASA and Firepower Threat Defense devices in your environment and document their current firmware versions

2. Implement emergency rate limiting on SSH/HTTPS administrative access ports (restrict login attempts to 3 per minute per source IP)

3. Enable account lockout policies (lock after 5 failed attempts for 30 minutes minimum)

4. Restrict administrative access to known IP ranges using ACLs; disable remote management if not essential

5. Monitor authentication logs for failed login attempts and brute force patterns

PATCHING GUIDANCE:

1. Apply Cisco security patches immediately (check Cisco Security Advisories for affected versions)

2. Test patches in non-production environment first

3. Schedule maintenance windows for critical production devices

4. Verify patch installation and device functionality post-update

COMPENSATING CONTROLS (if patching delayed):

1. Deploy Web Application Firewall (WAF) rules to detect brute force patterns

2. Implement multi-factor authentication (MFA) for all VPN and administrative access

3. Use VPN client-based access instead of clientless SSL VPN where possible

4. Deploy intrusion detection/prevention systems (IDS/IPS) to detect exploitation attempts

5. Implement IP reputation filtering to block known malicious sources

DETECTION RULES:

1. Alert on >10 failed authentication attempts from single source IP within 5 minutes

2. Monitor for successful login immediately following failed attempts (credential stuffing pattern)

3. Track unauthorized VPN session establishments

4. Log all administrative access with source IP, timestamp, and success/failure status

5. Correlate failed attempts across multiple administrative interfaces

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع أجهزة Cisco ASA و Firepower Threat Defense في بيئتك وقم بتوثيق إصدارات البرامج الثابتة الحالية

2. تطبيق تحديد معدل الطوارئ على منافذ الوصول الإداري SSH/HTTPS (تقييد محاولات تسجيل الدخول إلى 3 في الدقيقة لكل عنوان IP مصدر)

3. تفعيل سياسات قفل الحساب (القفل بعد 5 محاولات فاشلة لمدة 30 دقيقة على الأقل)

4. تقييد الوصول الإداري إلى نطاقات IP معروفة باستخدام ACLs؛ تعطيل الإدارة البعيدة إذا لم تكن ضرورية

5. مراقبة سجلات المصادقة للبحث عن محاولات تسجيل دخول فاشلة وأنماط القوة الغاشمة

إرشادات التصحيح:

1. تطبيق تصحيحات أمان Cisco على الفور (تحقق من مستشارات أمان Cisco للإصدارات المتأثرة)

2. اختبر التصحيحات في بيئة غير الإنتاج أولاً

3. جدولة نوافذ الصيانة للأجهزة الحرجة في الإنتاج

4. التحقق من تثبيت التصحيح وعمل الجهاز بعد التحديث

الضوابط التعويضية (إذا تأخر التصحيح):

1. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن أنماط القوة الغاشمة

2. تطبيق المصادقة متعددة العوامل (MFA) لجميع الوصول إلى VPN والوصول الإداري

3. استخدام وصول عميل VPN بدلاً من SSL VPN بدون عميل حيث أمكن

4. نشر أنظمة كشف/منع الاختراق (IDS/IPS) للكشف عن محاولات الاستغلال

5. تطبيق تصفية سمعة IP لحظر المصادر الضارة المعروفة

قواعد الكشف:

1. تنبيه عند >10 محاولات مصادقة فاشلة من عنوان IP مصدر واحد في غضون 5 دقائق

2. مراقبة تسجيل الدخول الناجح فوراً بعد المحاولات الفاشلة (نمط حشو بيانات الاعتماد)

3. تتبع جلسات VPN غير المصرح بها

4. تسجيل جميع الوصول الإداري مع عنوان IP المصدر والطابع الزمني وحالة النجاح/الفشل

5. ربط المحاولات الفاشلة عبر واجهات إدارية متعددة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC 2024 A.9.2.1 - User access management and authentication ECC 2024 A.9.4.3 - Password management systems ECC 2024 A.8.1.1 - Perimeter security controls ECC 2024 A.12.4.1 - Event logging and monitoring

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Hardware and software assets are catalogued SAMA CSF PR.AC-1 - Access to physical and logical assets is managed SAMA CSF PR.AC-6 - Access to data is managed based on least privilege SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 - Access control ISO 27001:2022 A.8.2 - User endpoint devices ISO 27001:2022 A.8.3 - Privileged access rights ISO 27001:2022 A.12.4.1 - Event logging

🟣 PCI DSS v4.0

PCI DSS 2.1 - Change vendor-supplied defaults PCI DSS 8.1 - Assign unique ID to each person with access PCI DSS 8.2 - Ensure proper user authentication PCI DSS 8.5 - Prevent reuse of passwords

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Cisco:Adaptive Security Appliance and Firepower Threat Defense

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS0.88%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2023-10-04

Published 2023-09-13

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.5

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited ransomware

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2023-20269

Introduce Yourself

Sign In Required