More

    Ranjivost Cisco ASA i FTD VPN-a aktivno se iskorištava u napadima

    Cisco je otkrio kritičnu ranjivost u svom softveru Adaptive Security Appliance (ASA) i Firepower Threat Defense (FTD) koji se aktivno eksploatiše u divljini.

    Greška, praćena kao CVE-2024-20481, omogućava neautorizovanim udaljenim napadačima da iscrpe sistemske resurse i izazovu stanje uskraćivanja usluge (DoS) na pogođenim uređajima.

    Ranjivost se nalazi u usluzi Remote Access VPN (RAVPN) softvera Cisco ASA i FTD.

    To je uzrokovano nepravilnim rukovanjem zahtjevima za VPN autentifikaciju, omogućavajući napadačima da preplave ciljane uređaje velikim brojem zahtjeva i troše prekomjerne resurse.

    Uspješno iskorištavanje može dovesti do stanja DoS-a , ometajući dostupnost RAVPN usluge. U nekim slučajevima može biti potrebno ponovno učitavanje uređaja za vraćanje funkcionalnosti.

    Cisco Talos, kompanija za obavještavanje o prijetnjama, primijetila je velike napade grubom silom koji ciljaju VPN-ove i SSH usluge koristeći najčešće korištene kredencijale za prijavu.

    Ovi napadi imaju za cilj da iskoriste ranjivost i dobiju neovlašćeni pristup korporativnim mrežama.

    Ranjivost utiče na softver Cisco ASA i FTD ako je RAVPN usluga omogućena. Korisnicima se savetuje da provere odeljak Fiksni softver u Ciscovom savjetodavstvu kako bi utvrdili da li je njihova konkretna verzija softvera ranjiva.

    Da bi provjerili je li SSL VPN omogućen na uređaju, administratori mogu koristiti show running-config webvpn | include ^ enablenaredbu na CLI uređaju. Ako nema izlaza, SSL VPN nije omogućen, a uređaj nije pogođen.

    Indikatori kompromisa

    Organizacije mogu otkriti da li su na meti napada sprejom lozinki tako što će pratiti određene poruke dnevnika koje se pojavljuju često i u velikim količinama. Primjeri uključuju:

    %ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = 10.1.2.3 : user = admin : user IP = 192.168.1.2
    
    %ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = 192.168.1.2
    
    %ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <192.168.1.2> Authentication: rejected, Session Type: WebVPN.

    Osim toga, praćenje količine zahtjeva za provjeru autentičnosti i odbijanja pomoću show aaa-servernaredbe može pomoći u identifikaciji napada u toku.

    Cisco je objavio ažuriranja softvera koja rješavaju ovu ranjivost, a zaobilazna rješenja nisu dostupna. Kupci se pozivaju da odmah nadograde na fiksno izdanje softvera.

    Aktivno iskorištavanje ove ranjivosti naglašava važnost pravovremenog zakrpanja i održavanja čvrstog sigurnosnog položaja. Organizacije koje koriste pogođeni softver Cisco ASA i FTD treba da daju prioritet nadogradnji na fiksno izdanje i implementaciji preporučenih sigurnosnih konfiguracija kako bi se smanjio rizik od uspješnih napada.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories