Der Netzwerktechnologie-Riese Cisco hat kritische Sicherheitsupdates für seine Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) Produkte veröffentlicht. Diese Patches adressieren mehrere schwerwiegende Schwachstellen, darunter die aktiv ausgenutzte Sicherheitslücke CVE-2024-20481. Die Situation erfordert unmittelbare Aufmerksamkeit von IT-Sicherheitsexperten und Netzwerkadministratoren.
Analyse der CVE-2024-20481 Schwachstelle
Die mit einem CVSS-Score von 5,8 bewertete Schwachstelle CVE-2024-20481 stellt eine erhebliche Bedrohung für Remote Access VPN (RAVPN) Dienste in ASA und FTD Produkten dar. Die Ausnutzung dieser Schwachstelle kann zu einem Denial-of-Service (DoS) führen, was potenziell die Funktionalität von Unternehmensnetzwerken lahmlegen kann.
Angriffsmechanismus und Auswirkungen
Der Angriff erfolgt durch das Senden einer großen Anzahl von VPN-Authentifizierungsanfragen an ein verwundbares Gerät. Eine erfolgreiche Ausnutzung führt zur Erschöpfung der Systemressourcen, was einen DoS-Zustand für RAVPN-Dienste verursacht. Es ist wichtig zu beachten, dass zur Wiederherstellung der Funktionalität nach einem solchen Angriff möglicherweise ein Neustart des Geräts erforderlich ist.
Umfang des Problems und reale Bedrohungen
Obwohl das Cisco Product Security Incident Response Team (PSIRT) die aktive Ausnutzung dieser Schwachstelle durch Angreifer bestätigt, ist es wichtig, den Kontext zu verstehen. Die Schwachstelle wurde nicht für direkte DoS-Angriffe auf Cisco ASA-Geräte genutzt, sondern im Rahmen groß angelegter Brute-Force-Angriffe auf verschiedene VPN-Dienste, einschließlich Produkte anderer Hersteller.
Ziele und Methoden der Angreifer
Forscher stellen fest, dass die Angriffe zufällig und opportunistisch sind und nicht auf bestimmte Branchen oder Regionen abzielen. Es wird vermutet, dass das Hauptziel der Angreifer darin besteht, VPN-Anmeldeinformationen in Unternehmensnetzwerken zu sammeln, um diese anschließend im Darknet zu verkaufen oder für weitere Angriffe zu nutzen.
Zusätzliche Schwachstellen und Schutzmaßnahmen
Neben CVE-2024-20481 hat Cisco Patches für drei weitere kritische Schwachstellen in seinen Produkten veröffentlicht:
- CVE-2024-20424 – betrifft alle Produkte, die eine verwundbare FMC-Version ausführen
- CVE-2024-20329 – betrifft ASA-Versionen mit aktiviertem CiscoSSH-Stack und SSH-Zugriff
- CVE-2024-20412 – betrifft FTD-Versionen 7.1-7.4 auf Firepower 1000, 2100, 3100 und 4200 Serien-Geräten
Um die Risiken zu minimieren, wird IT-Sicherheitsexperten dringend empfohlen, die veröffentlichten Updates unverzüglich anzuwenden. Falls eine sofortige Aktualisierung nicht möglich ist, sollten alternative Schutzmaßnahmen in Betracht gezogen werden, wie das Deaktivieren verwundbarer Komponenten oder die Einschränkung des Zugriffs auf diese. Diese Situation unterstreicht die Bedeutung regelmäßiger Software-Updates und eines proaktiven Ansatzes zur Cybersicherheit. Organisationen sollten die Überwachung der Netzwerkaktivität verstärken, insbesondere in Bezug auf VPN-Dienste, und auf potenzielle Angriffe vorbereitet sein. Kontinuierliche Aufmerksamkeit für neue Schwachstellen und die zeitnahe Anwendung von Patches bleiben Schlüsselelemente einer effektiven Strategie zum Schutz von Unternehmensnetzwerken.
