A Cisco disse na quarta-feira que lançou atualizações para resolver uma falha de segurança explorada ativamente em seu Adaptive Safety Equipment (ASA) que poderia levar a uma condição de negação de serviço (DoS).
A vulnerabilidade, rastreada como CVE-2024-20481 (pontuação CVSS: 5,8), afeta o serviço VPN de acesso remoto (RAVPN) do software program Cisco ASA e Cisco Firepower Risk Protection (FTD).
Surgindo devido ao esgotamento dos recursos, a falha de segurança pode ser explorada por invasores remotos não autenticados para causar um DoS do serviço RAVPN.
“Um invasor pode explorar esta vulnerabilidade enviando um grande número de solicitações de autenticação VPN para um dispositivo afetado”, disse a Cisco em um comunicado. “Uma exploração bem-sucedida pode permitir que o invasor esgote recursos, resultando em um DoS do serviço RAVPN no dispositivo afetado.”
A restauração do serviço RAVPN pode exigir a recarga do dispositivo dependendo do impacto do ataque, acrescentou a empresa de equipamentos de rede.
Embora não existam soluções alternativas diretas para resolver o CVE-2024-20481, a Cisco disse que os clientes podem seguir recomendações para combater ataques de pulverização de senhas –
- Habilitar registro
- Configurar a detecção de ameaças para serviços VPN de acesso remoto
- Aplicar medidas de reforço, como desabilitar a autenticação AAA e
- Bloqueie manualmente tentativas de conexão de fontes não autorizadas
É importante notar que a falha foi utilizada em um contexto malicioso por agentes de ameaças como parte de uma campanha de força bruta em grande escala visando VPNs e serviços SSH.
No início de abril, o Cisco Talos sinalizou um aumento nos ataques de força bruta contra serviços de rede privada digital (VPN), interfaces de autenticação de aplicativos da net e serviços SSH desde 18 de março de 2024.
Esses ataques atingiram uma ampla gama de equipamentos de diferentes empresas, incluindo Cisco, Examine Level, Fortinet, SonicWall, MikroTik, Draytek e Ubiquiti.
“As tentativas de força bruta usam nomes de usuário genéricos e nomes de usuário válidos para organizações específicas”, observou Talos na época. “Todos esses ataques parecem ser originados de nós de saída TOR e de uma série de outros túneis e proxies anonimizados.”
A Cisco também lançou patches para remediar três outras falhas críticas no software program FTD, no software program Safe Firewall Administration Heart (FMC) e no Adaptive Safety Equipment (ASA), respectivamente –
- CVE-2024-20412 (Pontuação CVSS: 9,3) – Presença de contas estáticas com vulnerabilidade de senhas codificadas no software program FTD para Cisco Firepower 1000, 2100, 3100 e 4200 Collection que pode permitir que um invasor native não autenticado acesse um sistema afetado usando credenciais estáticas
- CVE-2024-20424 (Pontuação CVSS: 9,9) – Uma vulnerabilidade de validação de entrada insuficiente de solicitações HTTP na interface de gerenciamento baseada na Internet da FMC Software program que poderia permitir que um invasor remoto autenticado executasse comandos arbitrários no sistema operacional subjacente como root
- CVE-2024-20329 (Pontuação CVSS: 9,9) – Uma validação insuficiente da vulnerabilidade de entrada do usuário no subsistema SSH do ASA que poderia permitir que um invasor remoto autenticado executasse comandos do sistema operacional como root
Com as vulnerabilidades de segurança em dispositivos de rede emergindo como um ponto central das explorações dos estados-nação, é essencial que os usuários ajam rapidamente para aplicar as correções mais recentes.
