Компания Cisco выпустила критические обновления безопасности для своих продуктов Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Патчи устраняют ряд серьезных уязвимостей, включая активно эксплуатируемую CVE-2024-20481. Ситуация требует немедленного внимания специалистов по информационной безопасности и администраторов сетей.
Анализ уязвимости CVE-2024-20481
Уязвимость CVE-2024-20481, оцененная в 5,8 баллов по шкале CVSS, представляет собой серьезную угрозу для служб Remote Access VPN (RAVPN) в продуктах ASA и FTD. Эксплуатация этой уязвимости может привести к отказу в обслуживании (DoS), что потенциально парализует работу корпоративных сетей.
Механизм атаки и последствия
Атака реализуется путем отправки большого количества запросов на VPN-аутентификацию к уязвимому устройству. Успешная эксплуатация приводит к исчерпанию системных ресурсов и отказу в обслуживании RAVPN. Для восстановления работоспособности после такой атаки может потребоваться перезагрузка устройства.
Масштаб проблемы и реальные угрозы
Cisco Product Security Incident Response Team (PSIRT) подтверждает активное использование этой уязвимости злоумышленниками. Уязвимость применялась в рамках масштабных брутфорс-атак на различные VPN-сервисы, включая продукты других производителей, а не только для прямых DoS-атак на устройства Cisco ASA.
Цели и методы атакующих
Атаки носят случайный, оппортунистический характер и не нацелены на конкретные отрасли или регионы. Основная цель злоумышленников — сбор учетных данных VPN корпоративных сетей с последующей их продажей в даркнете или использованием для дальнейших атак.
Дополнительные уязвимости в продуктах Cisco
Помимо CVE-2024-20481, Cisco PSIRT выпустила патчи для еще трех критических уязвимостей:
- CVE-2024-20424 — затрагивает все продукты под управлением уязвимой версии FMC
- CVE-2024-20329 — влияет на версии ASA с включенным стеком CiscoSSH и доступом через SSH
- CVE-2024-20412 — касается FTD версий 7.1–7.4 на устройствах серий Firepower 1000, 2100, 3100 и 4200
Кого затрагивают эти уязвимости?
В зоне риска находятся организации любого размера, использующие устройства Cisco ASA или FTD для организации удалённого доступа (Remote Access VPN). Особенно уязвимы компании, открывающие VPN-шлюзы непосредственно в интернет без дополнительной защиты. Корпоративные сети здравоохранения, финансового сектора и государственных структур, где VPN является основным каналом удалённой работы, подвергаются повышенному риску.
Рекомендуемые меры защиты
- Незамедлительно установить официальные патчи Cisco для всех затронутых продуктов ASA и FTD
- Если немедленное обновление невозможно — отключить функцию RAVPN или ограничить доступ к VPN-шлюзу по IP-адресам через ACL
- Включить ограничение частоты запросов на VPN-аутентификацию (rate limiting) для снижения риска брутфорс-атак
- Усилить мониторинг журналов аутентификации VPN на предмет аномально высокого числа неудачных попыток входа
- Настроить многофакторную аутентификацию (MFA) для всех VPN-пользователей, чтобы снизить ущерб от возможной утечки учётных данных
