Cisco ha anunciado que existe una vulnerabilidad crítica y que está siendo explotada en su software Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD).
Esta falla, rastreada como CVE-2024-20481, podría permitir que un atacante remoto no autenticado agote los recursos del sistema y provoque una condición de denegación de servicio (DoS) en un dispositivo afectado.
Esta vulnerabilidad existe en el servicio VPN de acceso remoto (RAVPN) del software Cisco ASA y FTD.
Esto se debe al manejo inadecuado de las solicitudes de autenticación de VPN, lo que permite a un atacante inundar un dispositivo objetivo con una gran cantidad de solicitudes y consumir recursos excesivos.
Una explotación exitosa podría resultar en una condición DoS que podría interrumpir la disponibilidad del servicio RAVPN. En algunos casos, es posible que deba recargar su dispositivo para restaurar la funcionalidad.
Seminario web gratuito sobre cómo proteger su sitio web y sus API contra ciberataques -> Únase aquí
Cisco Talos, el brazo de inteligencia de amenazas de la compañía, observó ataques de fuerza bruta a gran escala dirigidos a servicios VPN y SSH utilizando credenciales de inicio de sesión de uso común.
Estos ataques tienen como objetivo explotar esta vulnerabilidad para obtener acceso no autorizado a redes corporativas.
Esta vulnerabilidad afecta a Cisco ASA y al software FTD si el servicio RAVPN está habilitado. Se recomienda a los clientes que revisen la sección de software fijo del aviso de Cisco para determinar si una versión de software en particular es vulnerable.
Para verificar si SSL VPN está habilitado en un dispositivo, los administradores pueden usar show running-config webvpn | show running-config webvpn. Incluya el comando ^enable en la CLI del dispositivo. Si no hay salida, SSL VPN no está habilitada y su dispositivo no se ve afectado.
Señales de compromiso
Las organizaciones pueden detectar si son el objetivo de un ataque de distribución de contraseñas monitoreando mensajes de registro específicos que ocurren con frecuencia y en grandes cantidades. Los ejemplos incluyen:
%ASA-6-113005: Autenticación de usuario AAA rechazada: Motivo = No especificado: Servidor = 10.1.2.3: Usuario = Administrador: IP de usuario = 192.168.1.2 %ASA-6-113015: Autenticación de usuario AAA rechazada: Motivo = Usuario no encontrado : Base de datos local: Usuario = Administrador: IP de usuario = 192.168.1.2 %ASA-6-716039: Autenticación de IP de usuario de grupo: Rechazada, Tipo de sesión: WebVPN.
Además, monitorear la cantidad de solicitudes y denegaciones de autenticación mediante el comando show aaa-server puede ayudar a identificar ataques en curso.
Cisco ha lanzado una actualización de software que soluciona esta vulnerabilidad, pero no existe una solución alternativa. Se recomienda a los clientes que actualicen a la versión de software reparada de inmediato.
La explotación activa de esta vulnerabilidad resalta la importancia de aplicar parches oportunos y mantener una postura de seguridad sólida. Las organizaciones que utilizan el software Cisco ASA y FTD afectado deben priorizar la actualización a versiones fijas e implementar las configuraciones de seguridad recomendadas para reducir el riesgo de un ataque exitoso.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
