24 oct 2024

Falla que permite fuerza bruta y DoS en Cisco ASA RAVPN

Cisco ha revelado una vulnerabilidad explotada activamente (CVE-2024-20481) en su software Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) que podría permitir a los atacantes lanzar ataques de denegación de servicio (DoS) contra VPN de acceso remoto (RAVPN).

Esta vulnerabilidad tiene una puntuación CVSS de 5,8 y afecta a dispositivos que ejecutan versiones vulnerables de software ASA o FTD con RAVPN habilitado.

La vulnerabilidad surge de un problema de agotamiento de recursos. Como se indica en el aviso: "Un atacante podría aprovechar esta vulnerabilidad enviando una gran cantidad de solicitudes de autenticación de VPN a un dispositivo afectado. Un exploit exitoso podría permitir al atacante agotar los recursos, lo que resultaría en un DoS del servicio RAVPN en el dispositivo afectado".

Esto significa que los atacantes podrían potencialmente inundar el servicio VPN con solicitudes de autenticación, agotando los recursos del sistema e interrumpiendo el acceso legítimo de los usuarios. En algunos casos, puede ser necesario reiniciar el dispositivo para restaurar la funcionalidad RAVPN. Es importante destacar que Cisco señala que los servicios no relacionados con VPN no se ven afectados.

La falla se descubrió como parte de ataques de contraseña de fuerza bruta a gran escala en abril contra servicios VPN en una amplia variedad de hardware de red, que incluyen:

  • VPN de firewall seguro de Cisco
  • Punto de controlVPN
  • VPN Fortinet
  • SonicWallVPN
  • Servicios web de DR
  • micrófono
  • Draytec
  • ubiquiti

Estos ataques fueron diseñados para recolectar credenciales VPN válidas para redes corporativas, que luego pueden venderse en mercados de la web oscura, a bandas de ransomware para acceso inicial o usarse para violar redes en ataques de robo de datos.

Para comprobar si su dispositivo es vulnerable, Cisco recomienda ejecutar el siguiente comando en la CLI del dispositivo:

show running-config webvpn | include ^ enable

Cualquier resultado de este comando indica que SSL VPN está habilitado y que el dispositivo puede ser vulnerable.

El aviso proporciona orientación sobre cómo identificar posibles ataques de password spray, un método común para explotar esta vulnerabilidad. Los indicadores incluyen mensajes de registro específicos que aparecen con frecuencia y en grandes cantidades, como rechazos de autenticación e intentos fallidos de inicio de sesión. Monitorear el volumen de solicitudes y rechazos de autenticación mediante el comando show aaa-server también puede ayudar a detectar ataques en curso.

Cisco también recomienda que los clientes revisen la sección de detección de amenazas de la guía Configure Threat Detection for VPN Services. Esta sección permite habilitar protecciones contra varios ataques relacionados con VPN.

Cisco tiene conocimiento del uso malicioso de esta vulnerabilidad y las organizaciones que dependen del software Cisco ASA o FTD para los servicios RAVPN deben priorizar la actualización de sus sistemas para mitigar el riesgo de ataques DoS y garantizar la continuidad de las operaciones comerciales.

Otras vulnerabilidades de Cisco

Cisco también ha emitido 37 avisos de seguridad para 42 vulnerabilidades en varios de sus productos, incluidas tres fallas de gravedad crítica que afectan a Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) y Adaptive Security Appliance (ASA).

Aunque no se ha observado que ninguna de las fallas sea explotada activamente en la naturaleza, su naturaleza y gravedad deberían justificar un parche inmediato por parte de los administradores del sistema afectado.

  • CVE-2024-20424: Fallo de inyección de comandos en la interfaz de administración basada en web del software Cisco FMC, causado por una validación incorrecta de las solicitudes HTTP. Permite a atacantes remotos autenticados con al menos privilegios de 'Analista de Seguridad' ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root. (CVSS 9,9). Afecta a cualquier producto de Cisco que ejecute una versión vulnerable de FMC independientemente de la configuración del dispositivo.
  • CVE-2024-20329: Vulnerabilidad de inyección remota de comandos en Cisco ASA causada por una validación insuficiente de la entrada del usuario en comandos CLI remotos a través de SSH. Permite a atacantes remotos autenticados ejecutar comandos del sistema operativo a nivel raíz. (CVSS 9,9). Afecta las versiones de ASA que tienen la pila CiscoSSH habilitada y el acceso SSH permitido en al menos una interfaz.
  • CVE-2024-20412: Credenciales estáticas en dispositivos Firepower de las series 1000, 2100, 3100 y 4200, lo que permite a atacantes locales acceso sin restricciones a datos confidenciales, así como modificación de la configuración. (CVSS 9,3).

Cisco ya ha publicado actualizaciones de software que solucionan el problema e insta encarecidamente a los usuarios a actualizar a una versión reparada lo antes posible.

Fuente: BC | SecurityOnline

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!