توسعه دهندگان سیسکو از انتشار یک به روزرسانی امنیتی برای پچ آسیب پذیری فعال CVE-2024-20481 در فایروالهای [1]ASA و [2]FTD این شرکت خبر دادند که میتواند منجر به حمله DoS (انکار سرویس) شود.
این آسیب پذیری تمام نسخههای ASA، FTD و سرویس VPN دسترسی از راه دور (RAVPN) سیسکو را تحت تاثیر قرار میدهد. این باگ به دلیل فرسودگی منابع رخ میدهد و میتواند توسط مهاجمان احراز هویت نشده از راه دور برای ایجاد یک حمله DoS مورد استفاده قرار گیرد.
یک مهاجم میتواند با ارسال تعداد زیادی درخواست احراز هویت VPN به دستگاه آسیب پذیر از این نقص امنیتی سوء استفاده کند. یک اکسپلویت موفق میتواند به مهاجم اجازه دهد تا تمام ظرفیت منابع را به کار گیرد و در نتیجه حمله DoS را علیه سرویس RAVPN به را اندازد.
بازیابی سرویس RAVPN ممکن است بسته به تأثیر حمله به راه اندازی مجدد دستگاه نیاز داشته باشد. در حالی که هنوز هیچ راه حل مستقیمی برای رسیدگی به آسیب پذیری CVE-2024-20481 وجود ندارد، سیسکو اعلام کرده است که مشتریان میتوانند راهکارهایی را برای مقابله با حملات password spraying به کار گیرند، از جمله:
- فعال سازی لاگ سیستم
- پیکربندی تشخیص تهدید برای سرویس VPN دسترسی از راه دور (RAVPN)
- استفاده از اقدامات مستحکم سازی یا hardening مانند غیرفعال نمودن احراز هویت AAA و
- مسدود کردن تلاش برای اتصال از منابع غیرمجاز بصورت دستی
آسیب پذیری CVE-2024-20481 در آوریل سال جاری کشف شد و در حملات گسترده بروت فورس به سرویسهای VPN تجهیزات مختلف شبکه از جمله سیسکو (Cisco Secure Firewall VPN)، چک پوینت (Checkpoint VPN)، فورتینت (Fortinet VPN)، سونیک وال (SonicWall VPN)، میکروتیک (Miktrotik)، Draytek و Ubiquiti و اینترفیسهای احراز هویت برنامههای کاربردی وب (RD Web Services) و سرویس SSH استفاده شده است.
هکرها در سوء استفاده از آسیب پذیری CVE-2024-20481، صنایع و مناطق خاصی را هدف قرار نمیدهند بلکه حملات دارای ماهیت تصادفی و فرصت طلبانه هستند. به نظر میرسد که هدف از این حملات جمعآوری دادههای لاگین VPN در شبکههای شرکتی است که میتوان آن را در دارک وب به فروش رساند و یا برای نفوذهای بعدی مورد استفاده قرار داد.
سیسکو در این به روزرسانی علاوه بر پچ CVE-2024-20481، اصلاحاتی را برای سه آسیب پذیری مهم دیگر در FTD، ASA و مرکز مدیریت فایروال امن ([3]FMC) منتشر کرده است. این آسیب پذیریها به شرح زیر میباشند:
- CVE-2024-20412 (امتیاز CVSS 9.3): وجود اکانتهای ثابت (static) و آسیب پذیری رمز عبور هاردکد شده در نرمافزار FTD سری 1000، 2100، 3100 و 4200 فایرپاور سیسکو میتواند به یک مهاجم لوکال احراز هویت نشده اجازه دهد تا با استفاده از دادههای لاگین ایستا به سیستم آسیب پذیر دسترسی پیدا کند.
- CVE-2024-20424 (امتیاز CVSS: 9.9) – اعتبار سنجی ناکافی ورودی درخواستهای HTTP در اینترفیس مدیریت مبتنی بر وب نرم افزار FMC میتواند به یک مهاجم احراز هویت شده و از راه دور اجازه دهد تا دستورات دلخواه را بر روی سیستم عامل اصلی به عنوان کاربر root اجرا کند.
- CVE-2024-20329 (امتیاز CVSS: 9.9) – اعتبار سنجی ناکافی آسیب پذیری ورودی کاربر در زیرسیستم SSH در ASA میتواند به یک مهاجم احراز هویت شده و از راه دور اجازه دهد تا دستورات سیستم عامل را به عنوان کاربر root اجرا کند.
گزارش شده است که آسیب پذیری CVE-2024-20412 بر روی نسخههای ۷.۱ تا ۷.۴ فایروال FTD و نسخه VDB 387 یا قبل از آن در دستگاههای سری 1000، 2100، 3100 و 4200 فایرپاور تأثیر میگذارد.
CVE-2024-20424 نیز بر تمام محصولات سیسکو که نسخه آسیب پذیر FMC را اجرا میکنند، بدون توجه به پیکربندی دستگاه، تأثیر میگذارد.
آسیب پذیری CVE-2024-20329 هم به نوبه خود بر نسخههای ASA که از پشته CiscoSSH استفاده میکنند تأثیر میگذارد و دسترسی SSH را از طریق حداقل یک اینترفیس امکانپذیر میسازد. ضروری است که به منظور محافظت در برابر این باگ، پشته آسیب پذیر CiscoSSH غیرفعال گردد و پچهای امنیتی برای اعمال آخرین اصلاحات دریافت شوند.
[1] Adaptive Security Appliance
[2] Firepower Threat Defense
[3] Secure Firewall Management Center
