Η Cisco διόρθωσε ένα ελάττωμα άρνησης υπηρεσίας στο λογισμικό Cisco ASA και Firepower Threat Defense (FTD), το οποίο ανακαλύφθηκε κατά τη διάρκεια επιθέσεων ωμής βίας μεγάλης κλίμακας εναντίον συσκευών Cisco VPN τον Απρίλιο.
Το ελάττωμα παρακολουθείται ως CVE-2024-20481 και επηρεάζει όλες τις εκδόσεις των Cisco ASA και Cisco FTD μέχρι τις πιο πρόσφατες εκδόσεις του λογισμικού.
“Μια ευπάθεια στην υπηρεσία Απομακρυσμένης Πρόσβασης VPN (RAVPN) του λογισμικού Cisco Adaptive Security Appliance (ASA) και του λογισμικού Cisco Firepower Threat Defense (FTD) θα μπορούσε να επιτρέψει σε έναν μη εξακριβωμένο, απομακρυσμένο εισβολέα να προκαλέσει άρνηση υπηρεσίας (DoS) της υπηρεσίας RAVPN », διαβάζει το Συμβουλή ασφαλείας CVE-2024-20481.
“Αυτή η ευπάθεια οφείλεται σε εξάντληση πόρων. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια στέλνοντας μεγάλο αριθμό αιτημάτων ελέγχου ταυτότητας VPN σε μια επηρεασμένη συσκευή. Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εξαντλήσει πόρους, με αποτέλεσμα ένα DoS της υπηρεσίας RAVPN στο επηρεασμένη συσκευή.”
Η Cisco λέει ότι από τη στιγμή που αυτή η επίθεση DDoS επηρεάσει μια συσκευή, ενδέχεται να απαιτείται επαναφόρτωση για την επαναφορά των υπηρεσιών RAVPN.
Ενώ η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Προϊόντων της Cisco (PSIRT) λέει ότι γνωρίζει την ενεργό εκμετάλλευση αυτής της ευπάθειας, δεν χρησιμοποιήθηκε για τη στόχευση συσκευών Cisco ASA σε επιθέσεις DoS.
Αντίθετα, το ελάττωμα ανακαλύφθηκε ως μέρος μεγάλης κλίμακας επιθέσεων ωμής βίας με κωδικό πρόσβασης τον Απρίλιο εναντίον υπηρεσιών VPN σε μια μεγάλη ποικιλία υλικού δικτύωσης, όπως:
- Cisco Secure Firewall VPN
- Σημείο ελέγχου VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
Αυτές οι επιθέσεις σχεδιάστηκαν για τη συλλογή έγκυρων διαπιστευτηρίων VPN για εταιρικά δίκτυα, τα οποία στη συνέχεια μπορούν να πωληθούν σε αγορές σκοτεινού ιστού, σε συμμορίες ransomware για αρχική πρόσβαση ή να χρησιμοποιηθούν για παραβίαση δικτύων σε επιθέσεις κλοπής δεδομένων.
Ωστόσο, λόγω του μεγάλου αριθμού διαδοχικών και ταχέων αιτημάτων ελέγχου ταυτότητας που έγιναν σε συσκευές, οι εισβολείς εξάντλησαν άθελά τους τους πόρους στη συσκευή, προκαλώντας κατάσταση άρνησης υπηρεσίας στις συσκευές Cisco ASA και FTD.
Το σφάλμα ταξινομείται ως α CWE-772 ευπάθεια, η οποία δείχνει ότι το λογισμικό δεν απελευθέρωσε σωστά τους εκχωρημένους πόρους, όπως τη μνήμη, κατά τη διάρκεια προσπαθειών ελέγχου ταυτότητας VPN.
Η Cisco λέει ότι αυτό το ελάττωμα μπορεί να εκμεταλλευτεί μόνο εάν είναι ενεργοποιημένη η υπηρεσία RAVPN.
Οι διαχειριστές μπορούν να ελέγξουν εάν το SSL VPN είναι ενεργοποιημένο σε μια συσκευή εκδίδοντας την ακόλουθη εντολή:
firewall# show running-config webvpn | include ^ enable
Εάν δεν υπάρχει έξοδος, τότε η υπηρεσία RAVPN δεν είναι ενεργοποιημένη.
Άλλα τρωτά σημεία της Cisco
Η Cisco έχει επίσης εκδώσει 37 συμβουλές ασφαλείας για 42 ευπάθειες σε διάφορα προϊόντα της, συμπεριλαμβανομένων τριών ελαττωμάτων κρίσιμης σοβαρότητας που επηρεάζουν το Firepower Threat Defense (FTD), το Secure Firewall Management Center (FMC) και το Adaptive Security Appliance (ASA).
Αν και κανένα από τα ελαττώματα δεν έχει παρατηρηθεί ότι χρησιμοποιείται ενεργά στη φύση, η φύση και η σοβαρότητά τους θα πρέπει να δικαιολογούν την άμεση επιδιόρθωση από τους επηρεαζόμενους διαχειριστές συστήματος.
Μια περίληψη των ελαττωμάτων δίνεται παρακάτω:
- CVE-2024-20424: Ελάττωμα ένεσης εντολών στη διεπαφή διαχείρισης που βασίζεται στο web του λογισμικού Cisco FMC, που προκαλείται από ακατάλληλη επικύρωση αιτημάτων HTTP. Επιτρέπει σε πιστοποιημένους απομακρυσμένους εισβολείς με τουλάχιστον προνόμια «Security Analyst» να εκτελούν αυθαίρετες εντολές στο υποκείμενο λειτουργικό σύστημα με δικαιώματα root. (Βαθμολογία CVSS v3.1: 9,9)
- CVE-2024-20329: Ευπάθεια απομακρυσμένης έγχυσης εντολών στο Cisco ASA που προκαλείται από ανεπαρκή επικύρωση εισόδου χρήστη σε απομακρυσμένες εντολές CLI μέσω SSH. Επιτρέπει σε πιστοποιημένους απομακρυσμένους εισβολείς να εκτελούν εντολές λειτουργικού συστήματος σε επίπεδο ρίζας. (Βαθμολογία CVSS v3.1: 9,9)
- CVE-2024-20412: Στατικά διαπιστευτήρια σε συσκευές Firepower 1000, 2100, 3100 και 4200 Series, που επιτρέπουν στους τοπικούς εισβολείς απεριόριστη πρόσβαση σε ευαίσθητα δεδομένα, καθώς και τροποποίηση διαμόρφωσης. (Βαθμολογία CVSS v3.1: 9,3)
Το CVE-2024-20424 επηρεάζει οποιοδήποτε προϊόν Cisco που εκτελεί μια ευάλωτη έκδοση του FMC ανεξάρτητα από τη διαμόρφωση της συσκευής. Ο πωλητής δεν έχει δώσει λύσεις για αυτό το ελάττωμα.
Το CVE-2024-20329 επηρεάζει τις εκδόσεις ASA που έχουν ενεργοποιημένη τη στοίβα CiscoSSH και επιτρέπεται η πρόσβαση SSH σε τουλάχιστον μία διεπαφή.
Μια προτεινόμενη λύση για αυτό το ελάττωμα είναι να απενεργοποιήσετε την ευάλωτη στοίβα CiscoSSH και να ενεργοποιήσετε την εγγενή στοίβα SSH χρησιμοποιώντας την εντολή: "no ssh stack ciscossh"
Αυτό θα αποσυνδέσει τις ενεργές περιόδους λειτουργίας SSH και οι αλλαγές πρέπει να αποθηκευτούν για να είναι μόνιμο κατά τις επανεκκινήσεις.
Το CVE-2024-20412 επηρεάζει τις εκδόσεις Λογισμικού FTD 7.1 έως 7.4 με έκδοση VDB 387 ή παλαιότερη σε συσκευές Firepower 1000, 2100, 3100 και 4200 Series.
Η Cisco λέει ότι υπάρχει μια λύση για αυτό το πρόβλημα διαθέσιμη σε πελάτες που επηρεάζονται μέσω του Κέντρου Τεχνικής Βοήθειας της.
Για το CVE-2024-20412, ο προμηθευτής λογισμικού έχει συμπεριλάβει επίσης ενδείξεις εκμετάλλευσης στις συμβουλές για να βοηθήσει τους διαχειριστές συστήματος να εντοπίσουν κακόβουλη δραστηριότητα.
Συνιστάται να χρησιμοποιήσετε αυτήν την εντολή για να ελέγξετε τη χρήση στατικών διαπιστευτηρίων:
zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*
Εάν παρατίθενται οποιεσδήποτε επιτυχημένες προσπάθειες σύνδεσης, μπορεί να αποτελεί ένδειξη εκμετάλλευσης. Εάν δεν επιστραφεί κανένα αποτέλεσμα, τα προεπιλεγμένα διαπιστευτήρια δεν χρησιμοποιήθηκαν κατά τη διάρκεια της περιόδου διατήρησης αρχείων καταγραφής.
Δεν παρασχέθηκαν συμβουλές ανίχνευσης εκμετάλλευσης για τα CVE-2024-20424 και CVE-2024-20329, αλλά η εξέταση των αρχείων καταγραφής για ασυνήθιστα/μη φυσιολογικά συμβάντα είναι πάντα μια σταθερή μέθοδος για την εύρεση ύποπτης δραστηριότητας.
Οι ενημερώσεις και για τα τρία ελαττώματα είναι διαθέσιμες μέσω του Εργαλείο Cisco Software Checker.
VIA: bleepingcomputer.com
