سیسکو روز چهارشنبه ۲۳ اکتبر ۲۰۲۴ اعلام کرد که بهروزرسانیهایی را برای رفع یک نقص امنیتی فعال در ابزار امنیتی تطبیقی (ASA) خود منتشر کرده است که میتواند منجر به وضعیت انکار سرویس (DoS) شود.
این آسیبپذیری که بهعنوان CVE-2024-20481 ردیابی میشود (امتیاز ۸/۵ در مقیاس CVSS)، سرویس دسترسی از راه دور VPN (RAVPN) Cisco ASA و نرمافزار Cisco Firepower Threat Defense (FTD) را تحت تأثیر قرار میدهد.
به دلیل فرسودگی منابع، نقص امنیتی میتواند توسط مهاجمان غیرقانونی و از راه دور برای ایجاد DoS سرویس RAVPN مورد بهرهبرداری قرار گیرد.
سیسکو در گزارشی گفت[۱]: «یک مهاجم میتواند با ارسال تعداد زیادی درخواست احراز هویت VPN به دستگاه آسیبدیده از این آسیبپذیری بهرهبرداری کند. یک بهرهبردار موفق میتواند به مهاجم اجازه دهد تا منابع را تخلیه کند و درنتیجه سرویس RAVPN روی دستگاه آسیبدیده ارائه شود.»
این شرکت تجهیزات شبکه اضافه کرد که بازیابی سرویس RAVPN ممکن است بسته به تأثیر حمله به بارگذاری مجدد دستگاه نیاز داشته باشد.
درحالیکه هیچ راهحل مستقیمی برای رسیدگی به CVE-2024-20481 وجود ندارد، سیسکو گفت که مشتریان میتوانند توصیههایی را برای مقابله با حملات پاشش رمز عبور دنبال کنند[۲]:
- فعال کردن logging
- پیکربندی تشخیص تهدید برای خدمات VPN دسترسی از راه دور
- اقدامات سختکننده مانند غیرفعال کردن احراز هویت AAA
- مسدود کردن دستی تلاش برای اتصال از منابع غیرمجاز
شایانذکر است که این نقص در یک زمینه مخرب توسط عوامل تهدید بهعنوان بخشی از یک کمپین بیرحمانه در مقیاس بزرگ که VPN ها و سرویسهای SSH را هدف قرار میدهد، مورداستفاده قرار گرفته است.
در اوایل ماه آوریل، سیسکو تالوس از ۱۸ مارس ۲۰۲۴ حملات بیرحمانهای را علیه سرویسهای شبکه خصوصی مجازی (VPN)، رابطهای احراز هویت برنامههای کاربردی وب و سرویسهای SSH اعلام کرد[۳].
این حملات طیف وسیعی از تجهیزات شرکتهای مختلف ازجمله Cisco، Check Point، Fortinet، SonicWall، MikroTik، Draytek و Ubiquiti را مشخص کردند.
تالوس در آن زمان خاطرنشان کرد: «تلاشهای بیرحمانه از نامهای کاربری عمومی و نامهای کاربری معتبر برای سازمانهای خاص استفاده میکنند. به نظر میرسد که همه این حملات از گرههای خروجی TOR و طیفی از تونلها و پراکسیهای ناشناس دیگر سرچشمه میگیرند.»
سیسکو همچنین وصلههایی را برای رفع سه نقص مهم دیگر در نرمافزار FTD، نرمافزار مرکز مدیریت فایروال امن (FMC) و ابزار امنیتی تطبیقی (ASA) منتشر کرده است.
CVE-2024-20412 (امتیاز ۳/۹ در مقیاس CVSS) – وجود حسابهای ثابت با آسیبپذیری رمزهای عبور رمزگذاری شده در نرمافزار FTD برای سریهای Cisco Firepower 1000، ۲۱۰۰، ۳۱۰۰، و ۴۲۰۰ که میتواند به یک مهاجم محلی غیرقانونی اجازه دهد تا با استفاده از اعتبار استاتیک به سیستم آلوده دسترسی پیدا کند.[۴]
CVE-2024-20424 (امتیاز ۹/۹ در مقیاس CVSS) – اعتبار سنجی ورودی ناکافی درخواستهای HTTP آسیبپذیری در رابط مدیریت مبتنی بر وب نرمافزار FMC که میتواند به یک مهاجم احراز هویت شده و از راه دور اجازه دهد تا دستورات دلخواه را بر روی سیستمعامل اصلی بهعنوان ریشه اجرا کند.[۵]
CVE-2024-20329 (امتیاز ۹/۹ در مقیاس CVSS) – اعتبار سنجی ناکافی آسیبپذیری ورودی کاربر در زیرسیستم SSH ASA که میتواند به یک مهاجم احراز هویت شده و از راه دور اجازه دهد تا دستورات سیستمعامل را بهعنوان ریشه اجرا کند.[۶]
با توجه به اینکه آسیبپذیریهای امنیتی در دستگاههای شبکه بهعنوان نقطه مرکزی بهرهبرداریهای nation-state در حال ظهور است، ضروری است که کاربران بهسرعت برای اعمال آخرین اصلاحات اقدام کنند.
منابع
[۱] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-bf-dos-vDZhLqrW
[۲] https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/221806-password-spray-attacks-impacting-custome.html
[۳] https://thehackernews.com/2024/04/cisco-warns-of-global-surge-in-brute.html
[۴] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-statcred-dFC8tXT5
[۵] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-cmd-inj-v3AWDqN7
[۶] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssh-rce-gRAuPEUF
[۷] https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html
ثبت ديدگاه