一、漏洞概述
|
漏洞名稱 |
Cisco ASA & FTD拒絕服務漏洞 |
||
|
CVE ID |
CVE-2024-20353 |
||
|
漏洞類型 |
Dos |
發現時間 |
2024-04-25 |
|
漏洞評分 |
8.6 |
漏洞等級 |
高危 |
|
攻擊向量 |
網路 |
所需許可權 |
無 |
|
利用難度 |
低 |
使用者互動 |
無 |
|
PoC/EXP |
未知 |
在野利用 |
已發現 |
Cisco Adaptive Security Appliance(ASA)是Cisco Systems 提供的一系列集成安全解決方案,產品線包括路由器、伺服器、防火牆、VPN 網關和 IDS/IPS 設備。Cisco Firepower Threat Defense(FTD)是一個統一的安全解決方案,提供針對複雜威脅的全面保護。
2024年4月25日,啟明星辰VSRC監測到Cisco發佈針對其防火牆平臺的攻擊事件響應公告,威脅者通過利用Cisco ASA 和 FTD軟體中的多個漏洞進行攻擊,以植入惡意軟體、執行命令、並可能從受感染的設備中竊取資料。
CVE-2024-20353:Cisco ASA & FTD拒絕服務漏洞(高危)
Cisco ASA 和 FTD軟體的管理和VPN Web伺服器中存在拒絕服務漏洞,由於解析HTTP標頭時錯誤檢查不完整,未經身份驗證的遠端威脅者可以通過向目標web伺服器發送惡意的HTTP請求來利用該漏洞,成功利用可能導致設備重新載入,從而導致拒絕服務。該漏洞的CVSS評分為8.6,目前已發現被利用。
CVE-2024-20359:Cisco ASA & FTD程式碼執行漏洞(高危)
Cisco ASA 和 FTD的某些功能中存在漏洞,由於從系統快閃記憶體讀取檔案時對檔案驗證不當,經過身份驗證且具有管理員許可權的本地威脅者可以通過將惡意設計的檔案複製到受影響設備的disk0:檔案系統來利用該漏洞,成功利用可能導致威脅者在下次重新載入設備後在受影響的設備上執行任意程式碼,且注入的程式碼可能會在設備重新啟動後持續存在,從而導致持久本地程式碼執行。該漏洞的CVSS評分為6.0,目前已發現被利用。
CVE-2024-20358:Cisco ASA & FTD命令注入漏洞(中危)
Cisco ASA 和FTD中的Cisco ASA恢復功能存在漏洞,由於備份檔案的內容在恢復時未正確清理,經過身份驗證且具有管理員許可權的本地威脅者可以通過將惡意設計的備份檔案恢復到受影響的設備來利用該漏洞,成功利用可能導致以root許可權在底層系統上執行任意命令。
二、影響範圍
為幫助客戶確定其 Cisco ASA、FMC 和 FTD 軟體中是否存在漏洞,思科提供了思科軟體檢查器工具,使用者可使用該工具判斷當前設備的軟體版本是否受這些漏洞影響,並更新到不受影響版本。要使用該工具,請轉至Cisco Software Checker頁面並按照說明進行操作:https://sec.cloudapps.cisco.com/security/center/softwarechecker.x
三、安全措施
3.1升級版本
目前這些漏洞已經修復,受影響使用者可使用官方提供的工具或措施進行排查,並升級到不受影響或最新的韌體版本,或關閉設備易受攻擊的配置和功能以緩解該漏洞。
參考連結:
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response?
3.2臨時措施
針對CVE-2024-20353,可參考以下措施進行手動排查:
確定ASA或FTD設備是否受到影響
要確定運行Cisco ASA軟體或FTD軟體的設備是否受到影響,請使用show asp table socket | include SSL命令在任何TCP 埠上查找 SSL 偵聽套接字。如果輸出中出現socket,則應認為該設備存在漏洞。Cisco ASA 設備示例如下:
ciscoasa#show asp table socket | include SSL
SSL00185038 LISTEN 172.16.0.250:443 0.0.0.0:*
SSL00188638 LISTEN 10.0.0.250:8443 0.0.0.0:*
如果 Cisco ASA 軟體和 FTD 軟體具有以下兩個表中列出的一項或多項易受攻擊的配置,則此漏洞會影響它們。這些功能可能會導致啟用SSL偵聽套接字。
ASA軟體易受攻擊的配置
|
易受攻擊的思科ASA軟體功能 |
可能存在漏洞的配置(show running-config CLI命令中的配置) |
|
AnyConnect IKEv2 遠端訪問(使用客戶端服務) |
crypto ikev2 enable […] client-services port |
|
本地證書頒發機構 (CA) |
crypto ca server no shutdown |
|
管理 Web 伺服器訪問(包括 ASDM 和 CSM) |
http server enable http |
|
Mobile User Security (MUS) |
webvpn mus password mus server enable port mus |
|
REST API |
rest-api image disk0:/rest-api agent |
|
SSL VPN |
webvpn enable |
FTD軟體易受攻擊的配置
|
易受攻擊的思科FTD軟體功能 |
可能存在漏洞的配置(show running-config CLI命令中的配置) |
|
AnyConnect IKEv2 遠端訪問(使用客戶端服務) |
crypto ikev2 enable […] client-services port |
|
AnyConnect SSL VPN |
webvpn enable |
|
HTTP server enabled |
http server enable http |
3.3通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4參考連結
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h#fs
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/