A Cisco anunciou na quarta-feira(23) que lançou atualizações para corrigir uma falha de segurança ativamente explorada em seu Adaptive Security Appliance (ASA), que poderia levar a uma condição de negação de serviço (DoS).
A vulnerabilidade, identificada como
CVE-2024-20481
(pontuação CVSS: 5.8), afeta o serviço de Remote Access VPN (RAVPN) da Cisco ASA e do software Cisco Firepower Threat Defense (FTD).
Originada devido ao esgotamento de recursos, a falha de segurança pode ser explorada por atacantes remotos não autenticados para causar um DoS do serviço RAVPN.
"Um atacante poderia explorar essa vulnerabilidade enviando um grande número de solicitações de autenticação VPN para um dispositivo afetado", disse a Cisco em um comunicado.
Uma exploração bem-sucedida poderia permitir que o atacante esgotasse os recursos, resultando em um DoS do serviço RAVPN no dispositivo afetado.
A restauração do serviço RAVPN pode exigir um reinício do dispositivo dependendo do impacto do ataque, acrescentou a empresa de equipamentos de rede.
Embora não existam soluções diretas para abordar a
CVE-2024-20481
, a Cisco afirmou que os clientes podem seguir recomendações para combater ataques de pulverização de senha:
-Ativar o registro de eventos (logging);
-Configurar a detecção de ameaças para serviços de VPN de acesso remoto;
-Aplicar medidas de endurecimento, como desabilitar autenticação AAA, e
-Bloquear manualmente tentativas de conexão de fontes não autorizadas.
Vale destacar que a falha foi utilizada em um contexto malicioso por atores de ameaças como parte de uma campanha em larga escala de força bruta visando VPNs e serviços de SSH.
Em abril deste ano, a Cisco Talos identificou um aumento nos ataques de força bruta contra serviços de Virtual Private Network (VPN), interfaces de autenticação de aplicativos web e serviços de SSH desde 18 de março de 2024.
Esses ataques miravam uma ampla gama de equipamentos de diferentes empresas, incluindo Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek e Ubiquiti.
"As tentativas de força bruta usam nomes de usuários genéricos e nomes de usuários válidos para organizações específicas", observou a Talos na época.
Todos esses ataques parecem estar originários de nós de saída da TOR e uma variedade de outros túneis e proxies anônimos.
A Cisco também lançou correções para remediar outras três falhas críticas no software FTD, no Secure Firewall Management Center (FMC) Software e no Adaptive Security Appliance (ASA), respectivamente:
CVE-2024-20412
(pontuação CVSS: 9.3) - Uma vulnerabilidade de presença de contas estáticas com senhas codificadas em software FTD para as séries Cisco Firepower 1000, 2100, 3100 e 4200 que poderia permitir a um atacante local não autenticado acessar um sistema afetado usando credenciais estáticas.
CVE-2024-20424
(pontuação CVSS: 9.9) - Uma vulnerabilidade de validação insuficiente de solicitações HTTP na interface de gerenciamento baseada na web do software FMC que poderia permitir a um atacante remoto autenticado executar comandos arbitrários no sistema operacional subjacente como root.
CVE-2024-20329
(pontuação CVSS: 9.9) - Uma vulnerabilidade de validação insuficiente da entrada do usuário no subsistema SSH do ASA que poderia permitir a um atacante remoto autenticado executar comandos do sistema operacional como root.
Com as vulnerabilidades de segurança em dispositivos de rede emergindo como um ponto central de explorações por estados-nação, é essencial que os usuários se movam rapidamente para aplicar as últimas correções.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...