Cisco je otkrio kritičnu ranjivost u svom softveru Adaptive Security Appliance (ASA) i Firepower Threat Defense (FTD) koji se aktivno eksploatiše u divljini.
Greška, praćena kao CVE-2024-20481, omogućava neautorizovanim udaljenim napadačima da iscrpe sistemske resurse i izazovu stanje uskraćivanja usluge (DoS) na pogođenim uređajima.
Ranjivost se nalazi u usluzi Remote Access VPN (RAVPN) softvera Cisco ASA i FTD.
To je uzrokovano nepravilnim rukovanjem zahtjevima za VPN autentifikaciju, omogućavajući napadačima da preplave ciljane uređaje velikim brojem zahtjeva i troše prekomjerne resurse.
Uspješno iskorištavanje može dovesti do stanja DoS-a , ometajući dostupnost RAVPN usluge. U nekim slučajevima može biti potrebno ponovno učitavanje uređaja za vraćanje funkcionalnosti.
Cisco Talos, kompanija za obavještavanje o prijetnjama, primijetila je velike napade grubom silom koji ciljaju VPN-ove i SSH usluge koristeći najčešće korištene kredencijale za prijavu.
Ovi napadi imaju za cilj da iskoriste ranjivost i dobiju neovlašćeni pristup korporativnim mrežama.
Ranjivost utiče na softver Cisco ASA i FTD ako je RAVPN usluga omogućena. Korisnicima se savetuje da provere odeljak Fiksni softver u Ciscovom savjetodavstvu kako bi utvrdili da li je njihova konkretna verzija softvera ranjiva.
Da bi provjerili je li SSL VPN omogućen na uređaju, administratori mogu koristiti show running-config webvpn | include ^ enablenaredbu na CLI uređaju. Ako nema izlaza, SSL VPN nije omogućen, a uređaj nije pogođen.
Indikatori kompromisa
Organizacije mogu otkriti da li su na meti napada sprejom lozinki tako što će pratiti određene poruke dnevnika koje se pojavljuju često i u velikim količinama. Primjeri uključuju:
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = 10.1.2.3 : user = admin : user IP = 192.168.1.2
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = 192.168.1.2
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <192.168.1.2> Authentication: rejected, Session Type: WebVPN.Osim toga, praćenje količine zahtjeva za provjeru autentičnosti i odbijanja pomoću show aaa-servernaredbe može pomoći u identifikaciji napada u toku.
Cisco je objavio ažuriranja softvera koja rješavaju ovu ranjivost, a zaobilazna rješenja nisu dostupna. Kupci se pozivaju da odmah nadograde na fiksno izdanje softvera.
Aktivno iskorištavanje ove ranjivosti naglašava važnost pravovremenog zakrpanja i održavanja čvrstog sigurnosnog položaja. Organizacije koje koriste pogođeni softver Cisco ASA i FTD treba da daju prioritet nadogradnji na fiksno izdanje i implementaciji preporučenih sigurnosnih konfiguracija kako bi se smanjio rizik od uspješnih napada.
Izvor: CyberSecurityNews
