Cisco, Nisan ayında Cisco VPN cihazlarına yönelik büyük ölçekli kaba kuvvet saldırıları sırasında keşfedilen, Cisco ASA ve Firepower Threat Defense (FTD) yazılımındaki bir hizmet reddi kusurunu düzeltti.
Kusur, CVE-2024-20481 olarak izleniyor ve yazılımın en son sürümlerine kadar Cisco ASA ve Cisco FTD’nin tüm sürümlerini etkiliyor.
“Cisco Adaptive Security Appliance (ASA) Yazılımı ve Cisco Firepower Threat Defense (FTD) Yazılımının Uzaktan Erişim VPN (RAVPN) hizmetindeki bir güvenlik açığı, kimliği doğrulanmamış, uzak bir saldırganın RAVPN hizmetinin hizmet reddine (DoS) neden olmasına izin verebilir ,” CVE-2024-20481 güvenlik danışma belgesini okuyor.
“Bu güvenlik açığı kaynak tükenmesinden kaynaklanmaktadır. Bir saldırgan, etkilenen cihaza çok sayıda VPN kimlik doğrulama isteği göndererek bu güvenlik açığından yararlanabilir. Başarılı bir güvenlik açığından yararlanma, saldırganın kaynakları tüketmesine olanak tanıyarak RAVPN hizmetinin DoS’sine neden olabilir. Etkilenen cihaz.”
Cisco, bu DDoS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için yeniden yükleme gerekebileceğini söylüyor.
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açığından aktif olarak yararlanıldığının farkında olduklarını söylese de, DoS saldırılarında Cisco ASA cihazlarını hedeflemek için kullanılmadı.
Bunun yerine kusur, Nisan ayında aşağıdakiler de dahil olmak üzere çok çeşitli ağ donanımı üzerindeki VPN hizmetlerine yönelik büyük ölçekli kaba kuvvet şifre saldırılarının bir parçası olarak keşfedildi:
- Cisco Güvenli Güvenlik Duvarı VPN’i
- Kontrol noktası VPN’i
- Fortinet VPN’i
- SonicWall VPN’i
- RD Web Hizmetleri
- Miktro’dan
- Draytek
- Her yerde bulunma
Bu saldırılar, kurumsal ağlar için geçerli VPN kimlik bilgilerini toplamak üzere tasarlandı; bu kimlik bilgileri daha sonra karanlık web pazarlarında, ilk erişim için fidye yazılımı çetelerine satılabilir veya veri hırsızlığı saldırılarında ağları ihlal etmek için kullanılabilir.
Ancak cihazlara karşı yapılan çok sayıda sıralı ve hızlı kimlik doğrulama isteği nedeniyle saldırganlar farkında olmadan cihazdaki kaynakları tüketerek Cisco ASA ve FTD cihazlarında hizmet reddi durumuna neden oldu.
Hata, CWE-772 güvenlik açığı olarak sınıflandırılıyor; bu, yazılımın, VPN kimlik doğrulama girişimleri sırasında bellek gibi ayrılmış kaynakları düzgün şekilde serbest bırakmadığını gösteriyor.
Cisco, bu kusurdan yalnızca RAVPN hizmetinin etkinleştirilmesi durumunda yararlanılabileceğini söylüyor.
Yöneticiler aşağıdaki komutu vererek bir cihazda SSL VPN’in etkin olup olmadığını kontrol edebilir:
firewall# show running-config webvpn | include ^ enable
Çıkış yoksa RAVPN hizmeti etkinleştirilmemiştir.
Diğer Cisco güvenlik açıkları
Cisco ayrıca, Ateş Gücü Tehdit Savunmasını (FTD), Güvenli Güvenlik Duvarı Yönetim Merkezini (FMC) ve Uyarlanabilir Güvenlik Cihazını (ASA) etkileyen üç kritik önem derecesine sahip kusur da dahil olmak üzere, çeşitli ürünlerindeki 42 güvenlik açığı için 37 güvenlik tavsiyesi yayınladı.
Kusurların hiçbirinin aktif olarak kullanıldığı gözlemlenmemiş olsa da, bunların doğası ve ciddiyeti, etkilenen sistem yöneticileri tarafından derhal yama yapılmasını gerektirmelidir.
Kusurların özeti aşağıda verilmiştir:
- CVE-2024-20424: Cisco FMC yazılımının web tabanlı yönetim arayüzünde, HTTP isteklerinin uygunsuz şekilde doğrulanmasından kaynaklanan komut ekleme hatası. En azından ‘Güvenlik Analisti’ ayrıcalıklarına sahip, kimliği doğrulanmış uzak saldırganların, temel işletim sistemi üzerinde kök ayrıcalıklarıyla rastgele komutlar yürütmesine olanak tanır. (CVSS v3.1 puanı: 9,9)
- CVE-2024-20329: Cisco ASA’da, SSH üzerinden uzak CLI komutlarında yetersiz kullanıcı girişi doğrulamasının neden olduğu uzaktan komut ekleme güvenlik açığı. Kimliği doğrulanmış uzak saldırganların kök düzeyindeki işletim sistemi komutlarını yürütmesine olanak tanır. (CVSS v3.1 puanı: 9,9)
- CVE-2024-20412: Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda statik kimlik bilgileri, yerel saldırganların hassas verilere sınırsız erişiminin yanı sıra yapılandırma değişikliğine de olanak tanır. (CVSS v3.1 puanı: 9,3)
CVE-2024-20424, cihaz yapılandırmasından bağımsız olarak FMC’nin güvenlik açığı bulunan bir sürümünü çalıştıran tüm Cisco ürünlerini etkiliyor. Satıcı bu kusur için herhangi bir geçici çözüm sunmadı.
CVE-2024-20329, CiscoSSH yığınının etkin olduğu ve en az bir arayüzde SSH erişimine izin verilen ASA sürümlerini etkiler.
Bu kusur için önerilen bir geçici çözüm, güvenlik açığı bulunan CiscoSSH yığınını devre dışı bırakmak ve şu komutu kullanarak yerel SSH yığınını etkinleştirmektir: "no ssh stack ciscossh"
Bu, aktif SSH oturumlarının bağlantısını kesecektir ve yeniden başlatmalarda kalıcı olması için değişikliklerin kaydedilmesi gerekir.
CVE-2024-20412, Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda VDB sürümü 387 veya daha eski olan 7.1 ila 7.4 arası FTD Yazılımı sürümlerini etkiler.
Cisco, etkilenen müşteriler için Teknik Yardım Merkezi aracılığıyla bu soruna yönelik bir geçici çözüm bulunduğunu söylüyor.
CVE-2024-20412 için yazılım satıcısı, sistem yöneticilerinin kötü amaçlı etkinlikleri tespit etmesine yardımcı olmak amacıyla danışma belgesine kötüye kullanım belirtileri de ekledi.
Statik kimlik bilgilerinin kullanımını kontrol etmek için bu komutu kullanmanız önerilir:
zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*
Başarılı oturum açma denemeleri listeleniyorsa bu, istismarın bir göstergesi olabilir. Hiçbir çıktı döndürülmezse, günlük saklama süresi boyunca varsayılan kimlik bilgileri kullanılmamıştır.
CVE-2024-20424 ve CVE-2024-20329 için herhangi bir kötüye kullanım tespiti tavsiyesi sağlanmamıştır, ancak olağandışı/anormal olaylar için günlüklere bakmak, şüpheli etkinliği bulmak için her zaman sağlam bir yöntemdir.
Her üç kusura yönelik güncellemelere Cisco Yazılım Denetleyicisi aracı aracılığıyla ulaşılabilir.