Em outubro de 2024, a Cisco lançou atualizações de segurança para solucionar diversas falhas em seus produtos Adaptive Security Appliance (ASA), Secure Firewall Management Center (FMC) e Firepower Threat Defense (FTD). Entre elas, destaca-se uma vulnerabilidade crítica que foi alvo de ataques ativos. Identificada como CVE-2024-20481, a falha recebeu uma pontuação CVSS de 5,8 e afeta o serviço Remote Access VPN (RAVPN) dos dispositivos ASA e FTD.
Cisco corrige vulnerabilidades em produtos ASA, FMC e FTD, incluindo uma explorada ativamente
A CVE-2024-20481 é uma vulnerabilidade de negação de serviço (DoS), que permite a um invasor remoto, sem necessidade de autenticação, sobrecarregar os recursos do RAVPN. Isso é feito através do envio massivo de solicitações de autenticação para o dispositivo comprometido, resultando na interrupção do serviço.
Segundo o aviso da Cisco, “essa vulnerabilidade é causada pelo esgotamento de recursos. Um invasor pode explorar o problema enviando um grande volume de solicitações de autenticação VPN para o dispositivo vulnerável. Caso a exploração seja bem-sucedida, o serviço RAVPN poderá ser paralisado, exigindo a recarga do dispositivo para restaurar o serviço.” Outros serviços que não estão relacionados à VPN permanecem inalterados.
Em abril de 2024, especialistas da Cisco Talos já haviam alertado para uma campanha de ataques de força bruta em larga escala que mirava VPNs e serviços SSH com credenciais comumente usadas. Na época, a Cisco emitiu orientações para mitigar ataques de pulverização de senhas direcionados a serviços RAVPN. Esses ataques visam não apenas os dispositivos Cisco, mas também concentradores de VPN de terceiros.
Notícias Relacionadas
Falha crítica
Fortinet revela falha crítica no FortiManager explorada em ataques de dia zero
Fortinet divulga uma falha crítica no FortiManager que está sendo explorada em ataques de dia zero, com risco de roubo de dados sensíveis. Atualizações e medidas de mitigação já estão disponíveis.
Vulnerabilidade crítica
Samsung enfrenta exploração de vulnerabilidade crítica em dispositivos Android
Pesquisadores do Google alertam sobre uma vulnerabilidade de dia zero da Samsung, que permite escalada de privilégios em dispositivos Android. A falha, CVE-2024-44068, foi corrigida em outubro de 2024, mas está sendo explorada ativamente.
Agora, a Cisco confirmou que a falha CVE-2024-20481 está sendo ativamente explorada em ataques. “O Cisco PSIRT está ciente da exploração maliciosa da vulnerabilidade mencionada”, declarou a empresa em seu comunicado.
Além da CVE-2024-20481, a Cisco também abordou outras três falhas críticas:
- CVE-2024-20412: vulnerabilidade de credenciais estáticas no software FTD das séries 1000, 2100, 3100 e 4200.
- CVE-2024-20424: vulnerabilidade de injeção de comando no Cisco Secure Firewall Management Center.
- CVE-2024-20329: vulnerabilidade de injeção de comando remoto SSH no Cisco ASA.
Até o momento, essas outras vulnerabilidades não foram exploradas ativamente, mas a Cisco recomenda que os administradores apliquem as correções disponíveis o mais rápido possível. A lista completa das vulnerabilidades corrigidas está disponível na página oficial de avisos de segurança da Cisco.
