Cisco, Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) yazılımlarında vahşi ortamda aktif olarak kullanılan kritik bir güvenlik açığını açıkladı.
CVE-2024-20481 olarak takip edilen kusur, kimliği doğrulanmamış uzak saldırganların sistem kaynaklarını tüketmesine ve etkilenen cihazlarda hizmet reddi (DoS) durumuna neden olmasına olanak tanıyor.
Güvenlik açığı, Cisco ASA ve FTD yazılımının Uzaktan Erişim VPN (RAVPN) hizmetinde bulunuyor.
Bunun nedeni, VPN kimlik doğrulama isteklerinin yanlış işlenmesi, saldırganların hedeflenen cihazları çok sayıda istekle doldurmasına ve aşırı kaynak tüketmesine olanak sağlamasıdır.
Başarılı bir şekilde kullanılması, RAVPN hizmetinin kullanılabilirliğini bozan bir DoS durumuna yol açabilir. Bazı durumlarda, işlevselliği geri yüklemek için cihazın yeniden yüklenmesi gerekebilir.
Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here
Şirketin tehdit istihbaratı bölümü Cisco Talos, yaygın olarak kullanılan oturum açma kimlik bilgilerini kullanarak VPN’leri ve SSH hizmetlerini hedef alan büyük ölçekli kaba kuvvet saldırıları gözlemledi.
Bu saldırılar, güvenlik açığından yararlanmayı ve kurumsal ağlara yetkisiz erişim sağlamayı amaçlamaktadır.
Güvenlik açığı, RAVPN hizmetinin etkinleştirilmesi durumunda Cisco ASA ve FTD yazılımını etkiler. Müşterilerin, kendi yazılım sürümlerinin saldırıya açık olup olmadığını belirlemek için Cisco’nun danışma belgesinin Sabit Yazılım bölümünü kontrol etmeleri önerilir.
Yöneticiler, bir cihazda SSL VPN’nin etkin olup olmadığını doğrulamak için show running-config webvpn | include ^ enable Cihaz CLI’sindeki komut. Çıkış yoksa SSL VPN etkinleştirilmemiştir ve cihaz etkilenmemiştir.
Uzlaşma Göstergeleri
Kuruluşlar, sık sık ve büyük miktarlarda meydana gelen belirli günlük iletilerini izleyerek parola sprey saldırılarına hedef olup olmadıklarını tespit edebilir. Örnekler şunları içerir:
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = 10.1.2.3 : user = admin : user IP = 192.168.1.2
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = 192.168.1.2
%ASA-6-716039: Group User IP <192.168.1.2> Authentication: rejected, Session Type: WebVPN. Ek olarak, kimlik doğrulama isteklerinin ve reddedilenlerin hacminin izlenmesi show aaa-server komut devam eden saldırıların belirlenmesine yardımcı olabilir.
Cisco, bu güvenlik açığını gideren yazılım güncellemeleri yayımladı ve herhangi bir geçici çözüm mevcut değil. Müşterilerin derhal sabit bir yazılım sürümüne yükseltmeleri tavsiye edilir.
Bu güvenlik açığından aktif olarak yararlanılması, zamanında yama uygulanmasının ve sağlam bir güvenlik duruşunun sürdürülmesinin önemini vurgulamaktadır. Etkilenen Cisco ASA ve FTD yazılımını kullanan kuruluşlar, başarılı saldırı riskini azaltmak için sabit bir sürüme yükseltmeye ve önerilen güvenlik yapılandırmalarını uygulamaya öncelik vermelidir.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here