Cisco pada hari Rabu mengatakan telah merilis pembaruan untuk mengatasi kelemahan keamanan yang dieksploitasi secara aktif pada Adaptive Security Appliance (ASA) yang dapat menyebabkan kondisi penolakan layanan (DoS).
Kerentanannya, dilacak sebagai CVE-2024-20481 (skor CVSS: 5.8), mempengaruhi layanan Remote Access VPN (RAVPN) dari Cisco ASA dan Perangkat Lunak Cisco Firepower Threat Defense (FTD).
Timbul karena kehabisan sumber daya, kelemahan keamanan dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi untuk menyebabkan DoS pada layanan RAVPN.
“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan otentikasi VPN dalam jumlah besar ke perangkat yang terpengaruh,” kata Cisco dalam sebuah peringatan. “Eksploitasi yang berhasil dapat membuat penyerang menghabiskan sumber daya, sehingga menghasilkan DoS layanan RAVPN pada perangkat yang terpengaruh.”
Pemulihan layanan RAVPN mungkin memerlukan memuat ulang perangkat tergantung pada dampak serangannya, perusahaan peralatan jaringan menambahkan.
Meskipun tidak ada solusi langsung untuk mengatasi CVE-2024-20481, Cisco mengatakan pelanggan dapat mengikuti rekomendasi untuk melawan serangan penyemprotan kata sandi –
- Aktifkan pencatatan
- Konfigurasikan deteksi ancaman untuk layanan VPN akses jarak jauh
- Terapkan tindakan pengerasan seperti menonaktifkan otentikasi AAA, dan
- Blokir upaya koneksi secara manual dari sumber yang tidak sah
Perlu dicatat bahwa kelemahan ini telah digunakan dalam konteks jahat oleh pelaku ancaman sebagai bagian dari kampanye brute force berskala besar yang menargetkan VPN dan layanan SSH.
Awal April ini, Cisco Talos menandai lonjakan serangan brute force terhadap layanan Virtual Private Network (VPN), antarmuka otentikasi aplikasi web, dan layanan SSH sejak 18 Maret 2024.
Serangan ini menargetkan berbagai peralatan dari berbagai perusahaan, termasuk Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek, dan Ubiquiti.
“Upaya pemaksaan ini menggunakan nama pengguna umum dan nama pengguna yang valid untuk organisasi tertentu,” kata Talos saat itu. “Semua serangan ini tampaknya berasal dari titik keluar TOR dan sejumlah terowongan dan proxy anonim lainnya.”
Cisco juga telah merilis patch untuk memperbaiki tiga kelemahan kritis lainnya pada Perangkat Lunak FTD, Perangkat Lunak Secure Firewall Management Center (FMC), dan Adaptive Security Appliance (ASA), masing-masing –
- CVE-2024-20412 (Skor CVSS: 9.3) – Kehadiran akun statis dengan kerentanan kata sandi hard-code di Perangkat Lunak FTD untuk Cisco Firepower 1000, 2100, 3100, dan 4200 Series yang memungkinkan penyerang lokal yang tidak diautentikasi mengakses sistem yang terpengaruh menggunakan kredensial statis
- CVE-2024-20424 (Skor CVSS: 9.9) – Validasi input kerentanan permintaan HTTP yang tidak memadai di antarmuka manajemen berbasis web Perangkat Lunak FMC yang memungkinkan penyerang jarak jauh yang terotentikasi untuk mengeksekusi perintah sewenang-wenang pada sistem operasi yang mendasarinya sebagai root
- CVE-2024-20329 (Skor CVSS: 9.9) – Validasi kerentanan input pengguna yang tidak memadai di subsistem SSH ASA yang memungkinkan penyerang jarak jauh yang diautentikasi mengeksekusi perintah sistem operasi sebagai root
Dengan munculnya kerentanan keamanan pada perangkat jaringan sebagai titik pusat eksploitasi negara, penting bagi pengguna untuk bergerak cepat untuk menerapkan perbaikan terbaru.