Cisco Çarşamba günü yaptığı açıklamada, Uyarlanabilir Güvenlik Uygulamasında (ASA) aktif olarak istismar edilen ve hizmet reddi (DoS) durumuna yol açabilecek bir güvenlik kusurunu gidermek için güncellemeler yayınladığını söyledi.
Şu şekilde izlenen güvenlik açığı: CVE-2024-20481 (CVSS puanı: 5,8), Cisco ASA ve Cisco Firepower Threat Defense (FTD) Yazılımının Uzaktan Erişim VPN (RAVPN) hizmetini etkiler.
Kaynak tükenmesi nedeniyle ortaya çıkan güvenlik açığı, kimliği doğrulanmamış uzak saldırganlar tarafından RAVPN hizmetinin DoS’sine neden olmak için kullanılabilir.
Cisco, bir danışma belgesinde “Bir saldırgan, etkilenen cihaza çok sayıda VPN kimlik doğrulama isteği göndererek bu güvenlik açığından yararlanabilir” dedi. “Başarılı bir istismar, saldırganın kaynakları tüketmesine olanak tanıyarak etkilenen cihazda RAVPN hizmetinin DoS’sine neden olabilir.”
Ağ ekipmanı şirketi, RAVPN hizmetinin geri yüklenmesinin, saldırının etkisine bağlı olarak cihazın yeniden yüklenmesini gerektirebileceğini ekledi.
CVE-2024-20481’i ele alacak doğrudan bir geçici çözüm bulunmamakla birlikte Cisco, müşterilerin şifre püskürtme saldırılarına karşı tavsiyeleri takip edebileceklerini söyledi:
- Günlüğe kaydetmeyi etkinleştir
- Uzaktan erişim VPN hizmetleri için tehdit algılamayı yapılandırma
- AAA kimlik doğrulamasını devre dışı bırakmak gibi sağlamlaştırma önlemleri uygulayın ve
- Yetkisiz kaynaklardan gelen bağlantı girişimlerini manuel olarak engelleyin
Kusurun, VPN’leri ve SSH hizmetlerini hedef alan büyük ölçekli bir kaba kuvvet kampanyasının parçası olarak tehdit aktörleri tarafından kötü niyetli bir bağlamda kullanıldığını belirtmekte fayda var.
Bu Nisan ayının başlarında Cisco Talos, 18 Mart 2024’ten bu yana Sanal Özel Ağ (VPN) hizmetlerine, web uygulaması kimlik doğrulama arayüzlerine ve SSH hizmetlerine yönelik kaba kuvvet saldırılarında bir artış olduğunu işaretledi.
Bu saldırılarda Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek ve Ubiquiti gibi farklı şirketlerin geniş bir ekipman yelpazesi hedef alındı.
Talos o dönemde “Kaba kuvvet denemelerinde genel kullanıcı adları ve belirli kuruluşlar için geçerli kullanıcı adları kullanılıyor” dedi. “Bu saldırıların tümü TOR çıkış düğümlerinden ve bir dizi diğer anonimleştirici tünellerden ve proxy’lerden kaynaklanıyor gibi görünüyor.”
Cisco ayrıca sırasıyla FTD Yazılımı, Güvenli Güvenlik Duvarı Yönetim Merkezi (FMC) Yazılımı ve Uyarlanabilir Güvenlik Aracındaki (ASA) diğer üç kritik kusuru düzeltmek için yamalar yayınladı:
- CVE-2024-20412 (CVSS puanı: 9,3) – Cisco Firepower 1000, 2100, 3100 ve 4200 Serisi için FTD Yazılımında, kimliği doğrulanmamış yerel bir saldırganın statik kimlik bilgilerini kullanarak etkilenen bir sisteme erişmesine izin verebilecek, sabit kodlanmış parolalara sahip statik hesapların varlığı
- CVE-2024-20424 (CVSS puanı: 9,9) – FMC Yazılımının web tabanlı yönetim arayüzündeki HTTP isteklerinin yetersiz giriş doğrulaması güvenlik açığı, kimliği doğrulanmış, uzaktaki bir saldırganın temeldeki işletim sisteminde kök olarak rastgele komutlar yürütmesine izin verebilir.
- CVE-2024-20329 (CVSS puanı: 9,9) – ASA’nın SSH alt sisteminde, kimliği doğrulanmış uzak bir saldırganın işletim sistemi komutlarını root olarak yürütmesine izin verebilecek kullanıcı girişi güvenlik açığının yetersiz doğrulanması
Ağ cihazlarındaki güvenlik açıklarının ulus-devlet istismarlarının merkez noktası olarak ortaya çıkmasıyla birlikte, kullanıcıların en son düzeltmeleri uygulamak için hızlı hareket etmeleri büyük önem taşıyor.