Cisco behebt ASA-Schwachstelle und mehrere Software-Fehler
Cisco hat dringend benötigte Updates herausgegeben, um eine aktiv ausgenutzte Sicherheitslücke in seiner Adaptive Security Appliance (ASA) zu schließen, die Angreifern ermöglichen könnte, einen Denial-of-Service-Zustand (DoS) herbeizuführen.
Die Sicherheitslücke CVE-2024-20481 (CVSS-Score: 5.8) betrifft den Remote Access VPN (RAVPN)-Dienst in Cisco ASA und Cisco Firepower Threat Defense (FTD) Software. Sie entsteht durch eine Ressourcenerschöpfung und kann von entfernten, nicht authentifizierten Angreifern ausgenutzt werden, um einen Denial-of-Service (DoS) für den RAVPN-Dienst auszulösen.
Cisco erklärt in einem Advisory: „Ein Angreifer könnte die Schwachstelle ausnutzen, indem er eine große Anzahl von VPN-Authentifizierungsanfragen an ein betroffenes Gerät sendet. Ein erfolgreicher Angriff könnte die Ressourcen aufbrauchen und den RAVPN-Dienst zum Absturz bringen.“
Um den RAVPN-Dienst wiederherzustellen, könnte je nach Angriffsintensität ein Neustart des Geräts erforderlich sein.
Für die Schwachstelle CVE-2024-20481 gibt es keine direkten Lösungen, doch Cisco empfiehlt einige Maßnahmen, um Passwort-Spraying-Angriffe abzuwehren:
- Protokollierung aktivieren
- Bedrohungserkennung für VPN-Dienste mit Fernzugriff konfigurieren
- Sicherheitsmaßnahmen wie das Deaktivieren der AAA-Authentifizierung einrichten
- Verbindungsversuche von unautorisierten Quellen manuell blockieren
Cisco weist darauf hin, dass die Schwachstelle in groß angelegten Brute-Force-Angriffen auf VPNs und SSH-Dienste genutzt wurde. Anfang April berichtete Cisco Talos von einem Anstieg dieser Angriffe auf VPNs, Web-Authentifizierungs-Interfaces und SSH-Dienste seit dem 18. März 2024.
Diese Angriffe zielten auf viele Geräte unterschiedlicher Hersteller ab, darunter Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek und Ubiquiti.
„Die Brute-Force-Angriffe verwenden sowohl allgemeine Benutzernamen als auch spezielle Benutzernamen, die zu bestimmten Unternehmen gehören“, erklärte Cisco Talos. „Die Angriffe stammen offenbar von TOR-Exit-Knoten sowie von anderen Anonymisierungstunneln und Proxy-Servern.“
Cisco hat zudem Patches veröffentlicht, um drei weitere kritische Schwachstellen in der FTD-Software, der Secure Firewall Management Center (FMC)-Software und der Adaptive Security Appliance (ASA) zu beheben:
- CVE-2024-20412 (CVSS-Score: 9.3): Diese Schwachstelle betrifft die FTD-Software für die Cisco Firepower Serien 1000, 2100, 3100 und 4200 und ermöglicht einem nicht authentifizierten, lokalen Angreifer den Zugriff auf das System über fest codierte statische Konten mit voreingestellten Passwörtern.
- CVE-2024-20424 (CVSS-Score: 9.9): Hierbei handelt es sich um eine Schwachstelle in der FMC-Software, bei der unzureichende Eingabevalidierung von HTTP-Anfragen in der webbasierten Management-Oberfläche einem authentifizierten, entfernten Angreifer ermöglichen könnte, beliebige Befehle als Root auf dem zugrunde liegenden Betriebssystem auszuführen.
- CVE-2024-20329 (CVSS-Score: 9.9): Diese Schwachstelle betrifft das SSH-Subsystem der ASA und könnte einem authentifizierten, entfernten Angreifer ermöglichen, Root-Betriebssystembefehle auszuführen.
Da Sicherheitslücken in Netzwerkgeräten zunehmend von staatlichen Akteuren ausgenutzt werden, ist es für Nutzer wichtig, die neuesten Patches umgehend zu installieren.