Cisco dijo el miércoles que lanzó actualizaciones para abordar una falla de seguridad explotada activamente en su dispositivo de seguridad adaptativo (ASA) que podría conducir a una condición de denegación de servicio (DoS).
La vulnerabilidad, rastreada como CVE-2024-20481 (Puntuación CVSS: 5,8), afecta el servicio VPN de acceso remoto (RAVPN) de Cisco ASA y el software Cisco Firepower Threat Defense (FTD).
La falla de seguridad, que surge debido al agotamiento de los recursos, podría ser aprovechada por atacantes remotos no autenticados para provocar un DoS del servicio RAVPN.
“Un atacante podría explotar esta vulnerabilidad enviando una gran cantidad de solicitudes de autenticación VPN a un dispositivo afectado”, dijo Cisco en un aviso. “Un exploit exitoso podría permitir al atacante agotar los recursos, lo que resultaría en un DoS del servicio RAVPN en el dispositivo afectado”.
La restauración del servicio RAVPN puede requerir una recarga del dispositivo dependiendo del impacto del ataque, añadió la empresa de equipos de red.
Si bien no existen soluciones alternativas directas para abordar CVE-2024-20481, Cisco dijo que los clientes pueden seguir las recomendaciones para contrarrestar los ataques de pulverización de contraseñas.
- Habilitar el registro
- Configurar la detección de amenazas para servicios VPN de acceso remoto
- Aplicar medidas de refuerzo, como deshabilitar la autenticación AAA, y
- Bloquear manualmente los intentos de conexión de fuentes no autorizadas
Vale la pena señalar que la falla ha sido utilizada en un contexto malicioso por actores de amenazas como parte de una campaña de fuerza bruta a gran escala dirigida a VPN y servicios SSH.
A principios de abril, Cisco Talos señaló un aumento en los ataques de fuerza bruta contra servicios de redes privadas virtuales (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde el 18 de marzo de 2024.
Estos ataques apuntaron a una amplia gama de equipos de diferentes empresas, incluidas Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek y Ubiquiti.
“Los intentos de fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas”, señaló Talos en ese momento. “Todos estos ataques parecen originarse en nodos de salida TOR y una variedad de otros túneles y servidores proxy anónimos”.
Cisco también ha lanzado parches para remediar otras tres fallas críticas en el software FTD, el software Secure Firewall Management Center (FMC) y Adaptive Security Appliance (ASA), respectivamente:
- CVE-2024-20412 (Puntuación CVSS: 9,3) – Presencia de cuentas estáticas con vulnerabilidad de contraseñas codificadas en el software FTD para Cisco Firepower series 1000, 2100, 3100 y 4200 que podrían permitir que un atacante local no autenticado acceda a un sistema afectado utilizando credenciales estáticas
- CVE-2024-20424 (Puntuación CVSS: 9,9): vulnerabilidad de validación de entrada insuficiente de solicitudes HTTP en la interfaz de administración basada en web de FMC Software que podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente como root
- CVE-2024-20329 (Puntuación CVSS: 9,9) – Una validación insuficiente de la vulnerabilidad de entrada del usuario en el subsistema SSH de ASA que podría permitir a un atacante remoto autenticado ejecutar comandos del sistema operativo como root
Dado que las vulnerabilidades de seguridad en los dispositivos de red están surgiendo como un punto central de las explotaciones de los estados-nación, es esencial que los usuarios actúen rápidamente para aplicar las últimas soluciones.
