[TLP:CLEAR] Cisco Adaptive Security Appliance a Firepower Threat Defense opravují aktivně zneužívanou zranitelnost
CISA na základě důkazů o aktivním zneužívání do svého katalogu známých zneužívaných zranitelností zařadila zranitelnost ovlivňující službu Remote Access VPN (RAVPN) v Cisco Adaptive Security Appliance (ASA) Software a Cisco Firepower Threat Defense (FTD) Software [1]. Opravené verze lze zjistit pomocí nástroje Cisco Software Checker [2], kde je na první stránce třeba zadat typ a verzi produktu, na druhé vybrat všechna posouzení dopadů a bezpečnostní doporučení a na poslední stránce zvolit nejvyšší ze zobrazených opravených verzí a aktualizovat na ni postižené zařízení. Pokud nelze aktualizovat, je pro snížení pravděpodobnosti útoku a omezení možných dopadů doporučeno povolit logování a konfigurovat funkce detekce hrozeb pro služby RAVPN, které automaticky zablokují IP adresy překračující nastavené limity pokusů o přihlášení. Nejsou-li v dané verzi Secure Firewall tyto funkce podporovány, je doporučeno použít posilující opatření jako je například zákaz AAA autentizace či zákaz Secure Firewall Posture (Hostscan). Detailní informace lze nalézt na [3].
Neautentizovanému vzdálenému útočníkovi je skrze zasílání velkého počtu autentizačních VPN požadavků umožněno provést útok DoS na službu RAPVN. Služby, které s VPN nesouvisí, ovlivněny nejsou [4]. IoC možného útoku lze najít na [5].
Zranitelnost se nachází v produktech:
- Adaptive Security Appliance Software (ASA)
- Firepower Threat Defense Software (FTD)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
Více informací:
- CVE-2024-20481 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-772: Missing Release of Resource after Effective Lifetime at cwe.mitre.org
Zranitelnost byla veřejně oznámena 23. 10. 2024.
Odkazy
- [1] https://www.cisa.gov/news-events/alerts/2024/10/24/cisa-adds-two-known-exploited-vulnerabilities-catalog
- [2] https://sec.cloudapps.cisco.com/security/center/softwarechecker.x
- [3] https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/221806-password-spray-attacks-impacting-custome.html
- [4] https://nvd.nist.gov/vuln/detail/cve-2024-20481
- [5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-bf-dos-vDZhLqrW