Cisco

Cisco は、Cisco ASA および Firepower Threat Defense (FTD) ソフトウェアのサービス拒否の不具合を修正した。この不具合は、4 月に Cisco VPN デバイスに対する大規模な総当たり攻撃で発見されたものである。

この欠陥は CVE-2024-20481 として追跡されており、最新バージョンまでの Cisco ASA と Cisco FTD の全バージョンに影響する。

Cisco Adaptive Security Appliance (ASA) Software および Cisco Firepower Threat Defense (FTD) Software の Remote Access VPN (RAVPN) サービスに脆弱性があり、認証されていないリモートの攻撃者が RAVPN サービスのサービス拒否 (DoS) を引き起こす可能性があります。

「この脆弱性はリソースの枯渇によるものです。攻撃者は、影響を受けるデバイスに大量の VPN 認証リクエストを送信することで、この脆弱性を悪用することができます。攻撃が成功すると、攻撃者はリソースを使い果たし、その結果、影響を受けるデバイス上のRAVPNサービスがDoSになる可能性があります。”

Ciscoによると、このDDoS攻撃がデバイスに影響を与えると、RAVPNサービスを復旧させるためにリロードが必要になる可能性があるという。

Cisco Product Security Incident Response Team(PSIRT)によると、この脆弱性が積極的に悪用されていることは認識しているが、DoS攻撃でCisco ASAデバイスを標的にするために使用されたわけではない。

その代わりに、この欠陥は4月に、以下のような多種多様なネットワーキング・ハードウェア上のVPNサービスに対する大規模なブルートフォースパスワード攻撃の一部として発見された:

  • Cisco Secure Firewall VPN
  • チェックポイントVPN
  • フォーティネットVPN
  • ソニックウォールVPN
  • RDウェブサービス
  • ミクトロティック
  • Draytek
  • ユビキティ

これらの攻撃は、企業ネットワークの有効なVPN認証情報を取得し、ダークウェブマーケットで販売したり、ランサムウェアのギャングに最初のアクセスを提供したり、データ盗難攻撃でネットワークに侵入するために使用したりすることを目的としています。

しかし、デバイスに対して逐次的かつ迅速に大量の認証要求が行われたため、攻撃者は知らず知らずのうちにデバイス上のリソースを使い果たし、Cisco ASAおよびFTDデバイスにサービス拒否状態を引き起こした。

このバグはCWE-772脆弱性として分類され、VPN認証の試行中にソフトウェアがメモリなどの割り当てられたリソースを適切に解放していなかったことを示している。

Cisco社によると、この欠陥はRAVPNサービスが有効になっている場合にのみ悪用できるという。

管理者は、以下のコマンドを実行することで、デバイス上でSSL VPNが有効になっているかどうかを確認できる:

ファイアーウォール# show running-config webvpn | include ^ enable

出力がなければ、RAVPN サービスは有効になっていない。

その他の Cisco の脆弱性

Cisco は、Firepower Threat Defense (FTD)、Secure Firewall Management Center (FMC)、Adaptive Security Appliance (ASA)に影響する 3 つの重大な脆弱性を含む 42 の脆弱性について、37 のセキュリティ勧告を発行しています。

これらの欠陥は、いずれも実際に悪用されているわけではありませんが、その性質と重大性から、影響を受けたシステム管理者は直ちにパッチを適用する必要があります。

欠陥の概要は以下の通り:

  • CVE-2024-20424: Cisco FMC ソフトウェアのウェブベースの管理インターフェイスにコマンドインジェクションの欠陥があり、HTTP リクエストの不適切な検証により発生します。これにより、少なくとも「Security Analyst」権限を持つ認証済みのリモート攻撃者が、root 権限を持つ OS 上で任意のコマンドを実行できるようになります。(CVSS v3.1 スコア: 9.9)
  • CVE-2024-20329:cve-2024-20329: Cisco ASA に、SSH 経由のリモート CLI コマンドにおけるユーザ入力検証の不十分さに起因する、リモートコマンドインジェクションの脆弱性が存在します。この脆弱性により、認証されたリモートの攻撃者にルートレベルの OS コマンドを実行される可能性があります。(CVSS v3.1 スコア: 9.9)
  • CVE-2024-20412: Firepower 1000、2100、3100、4200 シリーズのデバイスに静的な認証情報が含まれており、ローカル攻撃者が機密データに無制限にアクセスしたり、設定を変更したりできる可能性があります。(CVSS v3.1 スコア: 9.3)

CVE-2024-20424 は、デバイスの構成に関係なく、FMC の脆弱なバージョンを実行しているすべての Cisco 製品に影響します。ベンダーは、この欠陥に対する回避策を提示していません。

CVE-2024-20329 は、CiscoSSH スタックが有効で、少なくとも 1 つのインターフェイスで SSH アクセスが許可されている ASA リリースに影響します。

この不具合の回避策として提案されているのは、コマンドを使用して脆弱な CiscoSSH スタックを無効にし、ネイティブの SSH スタックを有効にすることです:"no ssh stack ciscossh"

これにより、アクティブな SSH セッションは切断され、リブートしても持続するように変更を保存する必要があります。

CVE-2024-20412は、Firepower 1000、2100、3100、4200シリーズデバイスのVDBリリースが387以前のFTDソフトウェアバージョン7.1から7.4に影響します。

シスコは、テクニカルアシスタンスセンターを通じて、影響を受けるクライアントにこの問題の回避策を提供するとしている。

CVE-2024-20412については、システム管理者が悪意のある活動を検出できるように、ソフトウェアベンダーはアドバイザリに悪用の兆候も記載している。

以下のコマンドを使用して、静的な認証情報の使用をチェックすることを推奨する: 

zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*。

成功したログイン試行がリストされている場合、悪用の兆候である可能性がある。出力が返されない場合、ログの保持期間中にデフォルトの認証情報が使用されなかったことになる。

CVE-2024-20424とCVE-2024-20329については、悪用の検知に関するアドバイスは提供されていないが、ログに異常/異常なイベントがないか調べることは、常に疑わしい活動を見つけるための確実な方法である。

これら3つの欠陥に対するアップデートは、Cisco Software Checkerツールから入手可能です。