Cisco zei woensdag dat het updates heeft uitgebracht om een actief uitgebuit beveiligingslek in zijn Adaptive Security Appliance (ASA) aan te pakken, dat zou kunnen leiden tot een Denial-of-Service (DoS)-toestand.
De kwetsbaarheid, bijgehouden als CVE-2024-20481 (CVSS-score: 5,8), heeft invloed op de Remote Access VPN (RAVPN)-service van Cisco ASA en Cisco Firepower Threat Defense (FTD) Software.
Als gevolg van uitputting van bronnen kan het beveiligingslek worden misbruikt door niet-geauthenticeerde aanvallers op afstand om een DoS van de RAVPN-service te veroorzaken.
“Een aanvaller zou dit beveiligingslek kunnen misbruiken door een groot aantal VPN-authenticatieverzoeken naar een getroffen apparaat te sturen”, aldus Cisco in een advies. “Een succesvolle exploit kan de aanvaller in staat stellen bronnen uit te putten, wat resulteert in een DoS van de RAVPN-service op het getroffen apparaat.”
Voor het herstel van de RAVPN-service moet het apparaat mogelijk opnieuw worden geladen, afhankelijk van de impact van de aanval, aldus het bedrijf voor netwerkapparatuur.
Hoewel er geen directe oplossingen zijn om CVE-2024-20481 aan te pakken, zei Cisco dat klanten aanbevelingen kunnen volgen om aanvallen met wachtwoordsproeien tegen te gaan:
- Logboekregistratie inschakelen
- Configureer bedreigingsdetectie voor VPN-services voor externe toegang
- Pas verhardende maatregelen toe, zoals het uitschakelen van AAA-authenticatie, en
- Blokkeer handmatig verbindingspogingen van ongeautoriseerde bronnen
Het is vermeldenswaard dat de fout door bedreigingsactoren in een kwaadaardige context is gebruikt als onderdeel van een grootschalige brute-force-campagne gericht op VPN’s en SSH-services.
Eerder dit april signaleerde Cisco Talos sinds 18 maart 2024 een piek in brute-force-aanvallen op Virtual Private Network (VPN)-services, authenticatie-interfaces voor webapplicaties en SSH-services.
Bij deze aanvallen werd een breed scala aan apparatuur van verschillende bedrijven aangevallen, waaronder Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek en Ubiquiti.
“Bij de brute force-pogingen worden generieke gebruikersnamen en geldige gebruikersnamen voor specifieke organisaties gebruikt”, merkte Talos destijds op. “Deze aanvallen lijken allemaal afkomstig te zijn van TOR-exitknooppunten en een reeks andere anonimiserende tunnels en proxy’s.”
Cisco heeft ook patches uitgebracht om drie andere kritieke fouten in respectievelijk FTD Software, Secure Firewall Management Center (FMC) Software en Adaptive Security Appliance (ASA) te verhelpen:
- CVE-2024-20412 (CVSS-score: 9,3) – Een aanwezigheid van statische accounts met een kwetsbaarheid voor hardgecodeerde wachtwoorden in FTD-software voor Cisco Firepower 1000, 2100, 3100 en 4200 Series, waardoor een niet-geverifieerde, lokale aanvaller toegang kan krijgen tot een getroffen systeem met behulp van statische inloggegevens
- CVE-2024-20424 (CVSS-score: 9,9) – Een onvoldoende invoervalidatie van de kwetsbaarheid voor HTTP-verzoeken in de webgebaseerde beheerinterface van FMC-software, waardoor een geverifieerde, externe aanvaller willekeurige opdrachten op het onderliggende besturingssysteem als root kan uitvoeren
- CVE-2024-20329 (CVSS-score: 9,9) – Een onvoldoende validatie van de kwetsbaarheid voor gebruikersinvoer in het SSH-subsysteem van ASA, waardoor een geverifieerde aanvaller op afstand besturingssysteemopdrachten als root kan uitvoeren
Nu beveiligingskwetsbaarheden in netwerkapparaten een centraal punt vormen van uitbuiting door natiestaten, is het essentieel dat gebruikers snel actie ondernemen om de nieuwste oplossingen toe te passen.