Cisco, Adaptive Security Appliance (ASA) cihazlarındaki ve Firepower Threat Defense (FTD) yazılımındaki, toplu olarak “ArcaneDoor” güvenlik açıkları olarak bilinen birden fazla güvenlik açığını gidermek için kritik güvenlik güncellemeleri yayınladı.
Bu güvenlik açıklarından yararlanılması halinde, bir siber tehdit aktörünün etkilenen sistemin kontrolünü ele geçirmesine olanak tanınabilir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna, vahşi ortamda aktif istismara işaret eden iki güvenlik açığı ekledi.
Son zamanlarda Güvenlik Konusunda GBHackers rapor edildi Cisco’nun Adaptive Security Appliance’ındaki (ASA) bu 2 sıfır gün güvenlik açığından (CVE-2024-20353 ve CVE-2024-20359) yararlanmak için UAT4356 olarak takip edilen devlet destekli bir tehdit aktörü tarafından yürütülen “ArcaneDoor” adlı karmaşık bir siber casusluk kampanyası güvenlik duvarları.
Combat Email Threats with Free Phishing Simulations: Email Security Awareness Training ->Try Free Demo
CVE-2024-20353 ve CVE-2024-20359: Kalıcı Uzaktan Kod Yürütme Güvenlik Açıkları
CVE-2024-20353 ve CVE-2024-20359 olarak takip edilen bu iki güvenlik açığı, Cisco ASA ve FTD yazılımlarındaki kalıcı uzaktan kod yürütme güvenlik açıklarıdır.
Kimlik doğrulaması yapılmamış uzaktaki bir saldırganın, temel işletim sistemi üzerinde kök düzeyinde ayrıcalıklara sahip rasgele kod yürütmesine olanak tanır.
Güvenlik açıkları, belirli HTTP isteklerinin hatalı işlenmesi ve kullanıcı tarafından sağlanan verilerin uygunsuz şekilde sterilize edilmesi nedeniyle ortaya çıkmaktadır.
Bir saldırgan, hedeflenen cihaza hazırlanmış HTTP istekleri göndererek bu güvenlik açıklarından yararlanabilir ve bu da potansiyel olarak sistemin tamamının ele geçirilmesine yol açabilir.
“Cisco ASA Yazılımını veya FTD Yazılımını çalıştıran bir cihazın etkilenip etkilenmediğini belirlemek için asp tablo soketini göster | SSL’yi dahil et komutunu verin ve bir SSL dinleme soketi arayın herhangi TCP bağlantı noktası.”
Çıkışta bir soket varsa, cihazın savunmasız olduğu düşünülmelidir. Aşağıdaki örnek, TCP bağlantı noktası 443 ve TCP bağlantı noktası 8443’te iki SSL dinleme soketine sahip bir Cisco ASA cihazının çıktısını gösterir:
ciscoasa# show asp table socket | include SSL
SSL 00185038 LISTEN 172.16.0.250:443 0.0.0.0:*
SSL 00188638 LISTEN 10.0.0.250:8443 0.0.0.0:*
Cisco, bu güvenlik açıklarından aktif olarak yararlanıldığını doğruladı ve bunları gidermek için yazılım güncellemeleri yayınladı. Herhangi bir geçici çözüm mevcut değildir ve kullanıcıların gerekli güncellemeleri hemen uygulamaları şiddetle tavsiye edilir.
CVE-2024-20358: Web Hizmetlerinde Hizmet Reddi Güvenlik Açığı
CVE-2024-20358, Cisco ASA ve FTD yazılımının yönetim ve VPN web sunucularındaki bir hizmet reddi (DoS) güvenlik açığıdır.
Kimliği doğrulanmamış uzaktaki bir saldırgan, etkilenen cihazın beklenmedik bir şekilde yeniden yüklenmesine neden olarak DoS durumuna neden olabilir.
Güvenlik açığı, bir HTTP üstbilgisi ayrıştırılırken hata denetiminin tamamlanmamasından kaynaklanmaktadır.
Bir saldırgan, cihazdaki hedeflenen bir web sunucusuna hazırlanmış bir HTTP isteği göndererek bu güvenlik açığından yararlanabilir ve bu sunucunun yeniden yüklenmesine ve kullanılamaz hale gelmesine neden olabilir.
Bu güvenlik açığı Cisco ASA’yı etkiliyor eski haline getirmek Cisco ASA Serisi Genel Operasyonlar CLI Yapılandırma Kılavuzu’nun Yazılım ve Yapılandırmalar bölümünde açıklanan CLI komutu.
Bu güvenlik açığı, Firepower Device Manager için Cisco Firepower Threat Defense Yapılandırma Kılavuzu’nun Sistem Yönetimi bölümünde ve Firepower Management Center Yapılandırma Kılavuzu’nun Yedekleme ve Geri Yükleme bölümünde belgelenen yedekleme geri yükleme işlevlerini etkilemez.
Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayımladı ve herhangi bir geçici çözüm mevcut değil.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide