✔Cisco выпустила экстренный патч для бага в Adaptive Security Appliance и Firepower Threat Defense - «Новости»

27 октября 2024 593 Новости / Преимущества стилей / Вёрстка / Блог для вебмастеров / Отступы и поля / Текст / Самоучитель CSS 0

Сообщается, что баг затрагивает все версии ASA, FTD и связан со службой Remote Access VPN (RAVPN). Проблема возникает из-за исчерпания ресурсов и может использоваться удаленными неаутентифицированными злоумышленниками, чтобы спровоцировать состояние DoS.

«Злоумышленник может использовать эту уязвимость, отправив уязвимому устройству большое количество запросов на VPN-аутентификацию. Успешная эксплуатация позволит злоумышленнику исчерпать ресурсы, что приведет к отказу в обслуживании RAVPN на затронутом проблемой устройстве», — сообщают в Cisco, добавляя, что эксплуатировать уязвимость можно только в том случае, если служба RAVPN включена.

Для восстановления работы RAVPN после атаки может потребоваться перезагрузка устройства, предупредили в компании.

Хотя специалисты Cisco Product Security Incident Response Team (PSIRT) заявляют, что им известно об активной эксплуатации этой уязвимости злоумышленниками, отмечается, что баг использовался не для DoS-атак на устройства Cisco ASA.

Так, уязвимость была обнаружена еще в апреле текущего года и использовалась в массовых брутфорс-атаках на VPN-сервисы различных сетевых устройств, включая: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek, Ubiquiti.

Тогда исследователи писали, что злоумышленники не нацеливаются на конкретные отрасли и регионы, а атаки носят случайный, оппортунистический характер. Предполагалось, что целью атак был сбор учетных данных для VPN в корпоративных сетях, которые затем можно было бы продать в даркнете или применить для взлома.

Помимо патча для CVE-2024-20481 Cisco выпустила исправления для еще трех критических уязвимостей в FTD, ASA и Secure Firewall Management Center (FMC).

CVE-2024-20412 (9,3 балла по шкале CVSS) — жестко закодированные учетные данные в FTD для Cisco Firepower 1000, 2100, 3100 и 4200 Series, позволявшие неаутентифицированному локальному злоумышленнику получить доступ к затронутой системе.

CVE-2024-20424 (9,9 балла по шкале CVSS) — недостаточная проверка input'а в HTTP-запросах в веб-интерфейсе управления FMC Software, которая позволяла аутентифицированному удаленному злоумышленнику выполнять произвольные команды с правами root.

CVE-2024-20329 (9,9 балла по шкале CVSS) — недостаточная проверка пользовательского input'а в подсистеме SSH в ASA, что позволяло аутентифицированному удаленному злоумышленнику выполнять команды на уровне root.

Сообщается, что CVE-2024-20424 затрагивает все продукты Cisco, работающие под управлением уязвимой версии FMC, независимо от конфигурации устройства.

В свою очередь, CVE-2024-20329 затрагивает версии ASA, в которых используется стек CiscoSSH и разрешен доступ через SSH хотя бы через один интерфейс. То в качестве защиты от этого бага можно отключить уязвимый стек CiscoSSH.

CVE-2024-20412 затрагивает FTD версий 7.1–7.4 с релизом VDB 387 или более ранним на устройствах Firepower 1000, 2100, 3100 и 4200 Series.

Разработчики Cisco сообщили о выпуске патча для активно использующейся уязвимости CVE-2024-20481 (5,8 балла по шкале CVSS) в Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), которая может привести к отказу в обслуживании (DoS). Известно, что проблема применялась для масштабных брутфорс-атак. Сообщается, что баг затрагивает все версии ASA, FTD и связан со службой Remote Access VPN (RAVPN). Проблема возникает из-за исчерпания ресурсов и может использоваться удаленными неаутентифицированными злоумышленниками, чтобы спровоцировать состояние DoS. «Злоумышленник может использовать эту уязвимость, отправив уязвимому устройству большое количество запросов на VPN-аутентификацию. Успешная эксплуатация позволит злоумышленнику исчерпать ресурсы, что приведет к отказу в обслуживании RAVPN на затронутом проблемой устройстве», — сообщают в Cisco, добавляя, что эксплуатировать уязвимость можно только в том случае, если служба RAVPN включена. Для восстановления работы RAVPN после атаки может потребоваться перезагрузка устройства, предупредили в компании. Хотя специалисты Cisco Product Security Incident Response Team (PSIRT) заявляют, что им известно об активной эксплуатации этой уязвимости злоумышленниками, отмечается, что баг использовался не для DoS-атак на устройства Cisco ASA. Так, уязвимость была обнаружена еще в апреле текущего года и использовалась в массовых брутфорс-атаках на VPN-сервисы различных сетевых устройств, включая: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek, Ubiquiti. Тогда исследователи писали, что злоумышленники не нацеливаются на конкретные отрасли и регионы, а атаки носят случайный, оппортунистический характер. Предполагалось, что целью атак был сбор учетных данных для VPN в корпоративных сетях, которые затем можно было бы продать в даркнете или применить для взлома. Помимо патча для CVE-2024-20481 Cisco выпустила исправления для еще трех критических уязвимостей в FTD, ASA и Secure Firewall Management Center (FMC). CVE-2024-20412 (9,3 балла по шкале CVSS) — жестко закодированные учетные данные в FTD для Cisco Firepower 1000, 2100, 3100 и 4200 Series, позволявшие неаутентифицированному локальному злоумышленнику получить доступ к затронутой системе. CVE-2024-20424 (9,9 балла по шкале CVSS) — недостаточная проверка input'а в HTTP-запросах в веб-интерфейсе управления FMC Software, которая позволяла аутентифицированному удаленному злоумышленнику выполнять произвольные команды с правами root. CVE-2024-20329 (9,9 балла по шкале CVSS) — недостаточная проверка пользовательского input'а в подсистеме SSH в ASA, что позволяло аутентифицированному удаленному злоумышленнику выполнять команды на уровне root. Сообщается, что CVE-2024-20424 затрагивает все продукты Cisco, работающие под управлением уязвимой версии FMC, независимо от конфигурации устройства. В свою очередь, CVE-2024-20329 затрагивает версии ASA, в которых используется стек CiscoSSH и разрешен доступ через SSH хотя бы через один интерфейс. То в качестве защиты от этого бага можно отключить уязвимый стек CiscoSSH. CVE-2024-20412 затрагивает FTD версий 7.1–7.4 с релизом VDB 387 или более ранним на устройствах Firepower 1000, 2100, 3100 и 4200 Series.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.