W środę Cisco ogłosiło wydanie aktualizacji mających na celu naprawienie aktywnie wykorzystywanej luki bezpieczeństwa w ich oprogramowaniu Adaptive Security Appliance (ASA), która może prowadzić do wystąpienia stanu odmowy usługi (DoS). Problem ten, oznaczony jako CVE-2024-20481 (z wynikiem CVSS: 5.8), dotyczy usługi zdalnego dostępu VPN (RAVPN) w urządzeniach Cisco ASA oraz Cisco Firepower Threat Defense (FTD).
Luka w zabezpieczeniach i jej konsekwencje
Kwestią odpowiedzialną za lukę jest wyczerpanie zasobów, co oznacza, że niesprawdzony, zdalny atakujący może doprowadzić do stanu DoS, wysyłając dużą liczbę żądań uwierzytelnienia VPN do podatnego urządzenia. Firma Cisco informuje, że „atakujący może wykorzystać tę lukę, wysyłając dużą liczbę żądań autoryzacyjnych VPN do podatnego urządzenia. Udany atak może wyczerpać zasoby systemu, co skutkuje odmową usługi (DoS) dla usługi RAVPN na dotkniętym urządzeniu”.
W zależności od skali ataku, przywrócenie pełnej funkcjonalności usługi RAVPN może wymagać restartu urządzenia. Jest to potencjalnie poważne zagrożenie dla firm, które korzystają z tych urządzeń w kluczowych punktach swojej infrastruktury sieciowej.
Brak bezpośrednich rozwiązań zastępczych
Cisco nie oferuje bezpośrednich obejść dla luki CVE-2024-20481, jednak zaleca użytkownikom wdrożenie działań mających na celu minimalizację ryzyka, takich jak ochrona przed atakami typu „password spraying”. Rekomendacje obejmują:
– Włączenie logowania
– Konfigurację wykrywania zagrożeń dla usług VPN zdalnego dostępu
– Wprowadzenie środków ochronnych, takich jak wyłączenie uwierzytelniania AAA
– Ręczne blokowanie prób połączeń z nieautoryzowanych źródeł
Warto zaznaczyć, że luka została już wykorzystana przez złośliwych aktorów w ramach szeroko zakrojonej kampanii brute-force, skierowanej głównie na usługi VPN oraz SSH.
Kampania brute-force: globalne zagrożenie
W kwietniu bieżącego roku zespół Cisco Talos poinformował o wzroście liczby ataków brute-force wymierzonych w usługi VPN, interfejsy uwierzytelniania aplikacji webowych i usługi SSH. Fala ataków, która rozpoczęła się 18 marca 2024 roku, celowała w urządzenia różnych producentów, takich jak Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek czy Ubiquiti.
Atakujący używają zarówno ogólnych nazw użytkowników, jak i specyficznych nazw powiązanych z konkretnymi organizacjami, starając się przełamać zabezpieczenia. Większość tych ataków pochodzi z węzłów wyjściowych Tor oraz innych anonimowych tuneli i serwerów proxy, co znacznie utrudnia ich śledzenie i blokowanie.
Dodatkowe luki bezpieczeństwa
Oprócz wspomnianej luki CVE-2024-20481, Cisco wydało także poprawki dla trzech innych krytycznych problemów bezpieczeństwa w oprogramowaniu FTD, Secure Firewall Management Center (FMC) i ASA. Są to:
– CVE-2024-20412 (CVSS: 9.3) – Luka dotycząca obecności statycznych kont z hasłami w oprogramowaniu FTD dla urządzeń Cisco Firepower serii 1000, 2100, 3100 i 4200. Może ona umożliwić nieautoryzowanemu, lokalnemu atakującemu dostęp do systemu przy użyciu statycznych poświadczeń.
– CVE-2024-20424 (CVSS: 9.9) – Niewystarczająca walidacja wejściowa żądań HTTP w interfejsie zarządzania webowego oprogramowania FMC. Umożliwia ona uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych komend systemowych z uprawnieniami root.
– CVE-2024-20329 (CVSS: 9.9) – Niewystarczająca walidacja danych wejściowych w podsystemie SSH oprogramowania ASA, co może pozwolić uwierzytelnionemu, zdalnemu atakującemu na wykonanie poleceń systemu operacyjnego z uprawnieniami root.
Szybka reakcja jest kluczowa
Ze względu na fakt, że luki bezpieczeństwa w urządzeniach sieciowych stają się celem zaawansowanych ataków państwowych, niezmiernie ważne jest, aby użytkownicy jak najszybciej zastosowali dostępne aktualizacje. Wprowadzenie aktualizacji może zapobiec potencjalnym zagrożeniom i chronić infrastrukturę sieciową przed złośliwymi atakami.
Bezpieczeństwo infrastruktury sieciowej ma kluczowe znaczenie, a szybkie reagowanie na nowe zagrożenia może zapobiec poważnym problemom, takim jak przerwy w działaniu usług czy utrata danych w wyniku ataków cybernetycznych.
