Cisco a corrigé une faille de déni de service dans ses logiciels Cisco ASA et Firepower Threat Defense (FTD), découverte lors d’attaques par force brute à grande échelle contre des périphériques VPN Cisco en avril.
La faille est suivie sous le numéro CVE-2024-20481 et affecte toutes les versions de Cisco ASA et Cisco FTD jusqu’aux dernières versions du logiciel.
« Une vulnérabilité dans le service VPN d’accès à distance (RAVPN) du logiciel Cisco Adaptive Security Appliance (ASA) et du logiciel Cisco Firepower Threat Defense (FTD) pourrait permettre à un attaquant distant non authentifié de provoquer un déni de service (DoS) du service RAVPN », lit l’avis de sécurité CVE-2024-20481.
« Cette vulnérabilité est due à l’épuisement des ressources. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un grand nombre de demandes d’authentification VPN à un appareil affecté. Un exploit réussi pourrait permettre à l’attaquant d’épuiser les ressources, ce qui entraînerait un DoS du service RAVPN sur l’appareil affecté. »
Cisco indique qu’une fois que cette attaque DDoS a un impact sur un périphérique, un rechargement peut être nécessaire pour restaurer les services RAVPN.
Bien que l’Équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) affirme être consciente de l’exploitation active de cette vulnérabilité, elle n’a pas été utilisée pour cibler les périphériques Cisco ASA dans les attaques DoS.
Au lieu de cela, la faille a été découverte dans le cadre d’attaques par mot de passe par force brute à grande échelle en avril contre des services VPN sur une grande variété de matériels réseau, notamment:
- VPN pare-feu sécurisé Cisco
- VPN de Point de contrôle
- VPN Fortinet
- Réseau privé virtuel SonicWall
- Services Web de Bureau Régional
- Mikrotique
- Draitek
- Ubiquitis
Ces attaques ont été conçues pour récolter des informations d’identification VPN valides pour les réseaux d’entreprise, qui peuvent ensuite être vendues sur les marchés du dark Web, à des gangs de ransomwares pour un accès initial, ou utilisées pour violer les réseaux lors d’attaques de vol de données.
Cependant, en raison du grand nombre de demandes d’authentification séquentielles et rapides effectuées contre des périphériques, les attaquants ont involontairement épuisé les ressources sur le périphérique, provoquant un état de déni de service sur les périphériques Cisco ASA et FTD.
Le bogue est classé comme une vulnérabilité CWE-772, ce qui indique que le logiciel ne libérait pas correctement les ressources allouées, telles que la mémoire, lors des tentatives d’authentification VPN.
Cisco indique que cette faille ne peut être exploitée que si le service VPN RA est activé.
Les administrateurs peuvent vérifier si le VPN SSL est activé sur un appareil en exécutant la commande suivante:
firewall# show running-config webvpn | include ^ enableS’il n’y a pas de sortie, le service VPN RA n’est pas activé.
Autres vulnérabilités Cisco
Cisco a également émis 37 avis de sécurité pour 42 vulnérabilités sur divers de ses produits, y compris trois failles de gravité critique affectant Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) et Adaptive Security Appliance (ASA).
Bien qu’aucune des failles n’ait été observée comme étant activement exploitée dans la nature, leur nature et leur gravité devraient justifier une correction immédiate par les administrateurs système affectés.
Un résumé des défauts est donné ci-dessous:
- CVE-2024-20424: Faille d’injection de commandes dans l’interface de gestion basée sur le Web du logiciel Cisco FMC, causée par une validation incorrecte des requêtes HTTP. Il permet aux attaquants distants authentifiés disposant au moins des privilèges « Analyste de sécurité » d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent avec les privilèges root. (Note du CVSS v3.1: 9,9)
- CVE-2024-20329: Vulnérabilité d’injection de commandes à distance dans Cisco ASA causée par une validation insuffisante des entrées utilisateur dans les commandes CLI distantes via SSH. Il permet aux attaquants distants authentifiés d’exécuter des commandes de système d’exploitation au niveau racine. (Note du CVSS v3.1: 9,9)
- CVE-2024-20412: Informations d’identification statiques dans les périphériques de la gamme Firepower 1000, 2100, 3100 et 4200, permettant aux attaquants locaux un accès illimité aux données sensibles, ainsi que la modification de la configuration. (Note du CVSS v3.1: 9,3)
CVE-2024-20424 affecte tout produit Cisco exécutant une version vulnérable de FMC, quelle que soit la configuration du périphérique. Le vendeur n’a donné aucune solution de contournement pour cette faille.
CVE-2024-20329 impacte les versions ASA pour lesquelles la pile CiscoSSH est activée et l’accès SSH autorisé sur au moins une interface.
Une solution de contournement proposée pour cette faille consiste à désactiver la pile CiscoSSH vulnérable et à activer la pile SSH native en utilisant la commande : » pas de pile ssh ciscossh »
Cela déconnectera les sessions SSH actives et les modifications doivent être enregistrées pour les rendre persistantes lors des redémarrages.
CVE-2024-20412 impacte les versions logicielles FTD 7.1 à 7.4 avec une version VDB de 387 ou antérieure sur les périphériques de la gamme Firepower 1000, 2100, 3100 et 4200.
Cisco indique qu’il existe une solution de contournement pour ce problème à la disposition des clients concernés via son Centre d’assistance technique.
Pour CVE-2024-20412, le fournisseur de logiciels a également inclus des signes d’exploitation dans l’avis pour aider les administrateurs système à détecter les activités malveillantes.
Il est recommandé d’utiliser cette commande pour vérifier l’utilisation des informations d’identification statiques:
zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*Si des tentatives de connexion réussies sont répertoriées, cela peut indiquer une exploitation. Si aucune sortie n’est renvoyée, les informations d’identification par défaut n’ont pas été utilisées pendant la période de conservation du journal.
Aucun conseil de détection d’exploitation n’a été fourni pour CVE-2024-20424 et CVE-2024-20329, mais l’examen des journaux pour détecter les événements inhabituels/anormaux est toujours une méthode solide pour détecter les activités suspectes.