Разработчики Cisco сообщили о выпуске патча для активно использующейся уязвимости CVE-2024-20481 (5,8 балла по шкале CVSS) в Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), которая может привести к отказу в обслуживании (DoS). Известно, что проблема применялась для масштабных брутфорс-атак.
Сообщается, что баг затрагивает все версии ASA, FTD и связан со службой Remote Access VPN (RAVPN). Проблема возникает из-за исчерпания ресурсов и может использоваться удаленными неаутентифицированными злоумышленниками, чтобы спровоцировать состояние DoS.
«Злоумышленник может использовать эту уязвимость, отправив уязвимому устройству большое количество запросов на VPN-аутентификацию. Успешная эксплуатация позволит злоумышленнику исчерпать ресурсы, что приведет к отказу в обслуживании RAVPN на затронутом проблемой устройстве», — сообщают в Cisco, добавляя, что эксплуатировать уязвимость можно только в том случае, если служба RAVPN включена.
Для восстановления работы RAVPN после атаки может потребоваться перезагрузка устройства, предупредили в компании.
Хотя специалисты Cisco Product Security Incident Response Team (PSIRT) заявляют, что им известно об активной эксплуатации этой уязвимости злоумышленниками, отмечается, что баг использовался не для DoS-атак на устройства Cisco ASA.
Так, уязвимость была обнаружена еще в апреле текущего года и использовалась в массовых брутфорс-атаках на VPN-сервисы различных сетевых устройств, включая: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek, Ubiquiti.
Тогда исследователи писали, что злоумышленники не нацеливаются на конкретные отрасли и регионы, а атаки носят случайный, оппортунистический характер. Предполагалось, что целью атак был сбор учетных данных для VPN в корпоративных сетях, которые затем можно было бы продать в даркнете или применить для взлома.
Помимо патча для CVE-2024-20481 Cisco выпустила исправления для еще трех критических уязвимостей в FTD, ASA и Secure Firewall Management Center (FMC).
- CVE-2024-20412 (9,3 балла по шкале CVSS) — жестко закодированные учетные данные в FTD для Cisco Firepower 1000, 2100, 3100 и 4200 Series, позволявшие неаутентифицированному локальному злоумышленнику получить доступ к затронутой системе.
- CVE-2024-20424 (9,9 балла по шкале CVSS) — недостаточная проверка input'а в HTTP-запросах в веб-интерфейсе управления FMC Software, которая позволяла аутентифицированному удаленному злоумышленнику выполнять произвольные команды с правами root.
- CVE-2024-20329 (9,9 балла по шкале CVSS) — недостаточная проверка пользовательского input'а в подсистеме SSH в ASA, что позволяло аутентифицированному удаленному злоумышленнику выполнять команды на уровне root.
Сообщается, что CVE-2024-20424 затрагивает все продукты Cisco, работающие под управлением уязвимой версии FMC, независимо от конфигурации устройства.
В свою очередь, CVE-2024-20329 затрагивает версии ASA, в которых используется стек CiscoSSH и разрешен доступ через SSH хотя бы через один интерфейс. То в качестве защиты от этого бага можно отключить уязвимый стек CiscoSSH.
CVE-2024-20412 затрагивает FTD версий 7.1–7.4 с релизом VDB 387 или более ранним на устройствах Firepower 1000, 2100, 3100 и 4200 Series.
