Cisco, Nisan ayında Cisco VPN cihazlarına karşı büyük ölçekli kaba kuvvet saldırıları sırasında keşfedilen Cisco ASA ve Ateş Gücü Tehdit Savunma (FTD) yazılımında bir hizmet reddi kusuru düzeltti.
Kusur CVE-2024-20481 olarak izlenir ve Cisco Asa ve Cisco FTD'nin tüm sürümlerini yazılımın en son sürümlerine kadar etkiler.
"Cisco Adaptive Güvenlik Cihazı (ASA) yazılımının ve Cisco Ateş Gücü Tehdit Savunması (FTD) yazılımının uzaktan erişim VPN (RAVPN) hizmetinde bir güvenlik açığı, kimlik doğrulanmamış, uzak bir saldırganın RAVPN hizmetinin bir hizmet reddine (DOS) neden olmasına izin verebilir. , "CVE-2024-20481 Güvenlik Danışmanlığı'nı okur.
"Bu güvenlik açığı kaynak tükenmesine bağlıdır. Bir saldırgan, etkilenen bir cihaza çok sayıda VPN kimlik doğrulama talebi göndererek bu güvenlik açığını kullanabilir. etkilenen cihaz. "
Cisco, bu DDOS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için bir yeniden yükleme gerekebileceğini söylüyor.
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açığının aktif sömürüsünün farkında olduklarını söylerken, DOS saldırılarında Cisco ASA cihazlarını hedeflemek için kullanılmadı.
Bunun yerine, kusur, Nisan ayında çok çeşitli ağ donanımlarında VPN hizmetlerine karşı büyük ölçekli kaba kuvvet şifre saldırılarının bir parçası olarak keşfedildi:
Bu saldırılar, daha sonra karanlık web pazarlarında satılabilen kurumsal ağlar için geçerli VPN kimlik bilgilerini hasat etmek için tasarlanmıştır.
Bununla birlikte, cihazlara karşı yapılan çok sayıda sıralı ve hızlı kimlik doğrulama talebi nedeniyle, saldırganlar farkında olmadan cihazdaki kaynakları kullandı ve Cisco ASA ve FTD cihazlarında bir hizmet reddine neden oldu.
Hata, yazılımın VPN kimlik doğrulama denemeleri sırasında bellek gibi tahsis edilen kaynakları düzgün bir şekilde serbest bırakmadığını gösteren bir CWE-772 güvenlik açığı olarak sınıflandırılır.
Cisco, bu kusurun ancak RAVPN hizmeti etkinleştirilirse sömürülebileceğini söylüyor.
Yöneticiler, aşağıdaki komutu vererek bir cihazda SSL VPN'nin etkinleştirilip etkinleştirilmediğini kontrol edebilir:
Çıktı yoksa, RAVPN hizmeti etkinleştirilmez.
Cisco ayrıca, yangın gücü tehdidi savunmasını (FTD), Güvenli Güvenlik Duvarı Yönetim Merkezi'ni (FMC) ve Adaptif Güvenlik Cihazı (ASA) etkileyen üç kritik şiddetli kusur da dahil olmak üzere çeşitli ürünlerinde 42 güvenlik açığı için 37 güvenlik danışmanı yayınladı.
Her ne kadar kusurların hiçbirinin vahşi doğada aktif olarak sömürüldüğü gözlemlenmemiş olsa da, doğası ve ciddiyeti etkilenen sistem yöneticileri tarafından derhal yama yapmayı gerektirmelidir.
Kusurların bir özeti aşağıda verilmiştir:
CVE-2024-20424, cihaz yapılandırmasına bakılmaksızın FMC'nin savunmasız bir sürümünü çalıştıran herhangi bir Cisco ürününü etkiler. Satıcı bu kusur için hiçbir geçici çözüm vermedi.
CVE-2024-20329, Ciscossh yığını etkinleştirilen ASA sürümlerini etkiler ve en az bir arayüzde SSH erişimi izin verir.
Bu kusur için önerilen bir çözüm, savunmasız Ciscossh yığınını devre dışı bırakmak ve yerel SSH yığınını etkinleştirmektir: "SSH yığını Ciscossh yok"
Bu, aktif SSH oturumlarının bağlantısını kesecek ve yeniden başlatmalarda kalıcı hale getirmek için değişiklikler kaydedilmelidir.
CVE-2024-20412, FirePower 1000, 2100, 3100 ve 4200 Serisi cihazlarda 387 veya daha önceki bir VDB sürümü ile FTD yazılım sürümleri 7.1 ila 7.4 ile etkiler.
Cisco, teknik yardım merkezi aracılığıyla etkilenen müşteriler için mevcut olan bu sorun için bir geçici çözüm olduğunu söylüyor.
CVE-2024-20412 için, yazılım satıcısı, sistem yöneticilerinin kötü niyetli etkinlikleri tespit etmesine yardımcı olmak için danışmanlıkta sömürü belirtileri de eklemiştir.
Statik kimlik bilgilerinin kullanımını kontrol etmek için bu komutu kullanmanız önerilir:
Herhangi bir başarılı giriş denemesi listelenirse, sömürünün bir göstergesi olabilir. Herhangi bir çıktı döndürülmezse, varsayılan kimlik bilgileri günlük tutma döneminde kullanılmaz.
CVE-2024-20424 ve CVE-2024-20329 için sömürü tespit tavsiyesi verilmemiştir, ancak olağandışı/anormal olaylar için kütüklere bakmak, şüpheli aktivite bulmak için her zaman sağlam bir yöntemdir.
Üç kusurun da güncellemeleri Cisco Software Checker aracıyla kullanılabilir.
Kritik Kubernetes görüntü oluşturucu kusuru, SSH kök erişimini VMS'ye verir
Cisco, kamudan istismar kodu ile kök artış güvenlik açığını düzeltir
Zyxel, yönlendiricilerde kritik OS komut enjeksiyon kusurunu uyarıyor
70'den fazla sıfır gün kusuru bilgisayar korsanlarına Pwn2own İrlanda'da 1 milyon dolar alıyor
Yeni Cisco Asa ve FTD Özellikleri Blok VPN Brute-Force Parola Saldırıları
Kaynak: Bleeping Computer