Vulnerabilidade ativa

Cisco corrige falha crítica explorada ativamente em produtos ASA e FTD

A Cisco lançou atualizações que corrigem vulnerabilidades em produtos ASA, FMC e FTD, incluindo uma falha de DoS explorada em ataques de força bruta.

Linux Foundation cria consórcio Ultra Ethernet com Cisco, Microsoft e AMD
Linux Foundation cria consórcio Ultra Ethernet com Cisco, Microsoft e AMD

Em outubro de 2024, a Cisco lançou atualizações de segurança para solucionar diversas falhas em seus produtos Adaptive Security Appliance (ASA), Secure Firewall Management Center (FMC) e Firepower Threat Defense (FTD). Entre elas, destaca-se uma vulnerabilidade crítica que foi alvo de ataques ativos. Identificada como CVE-2024-20481, a falha recebeu uma pontuação CVSS de 5,8 e afeta o serviço Remote Access VPN (RAVPN) dos dispositivos ASA e FTD.

Cisco corrige vulnerabilidades em produtos ASA, FMC e FTD, incluindo uma explorada ativamente

falha-critica-em-roteadores-cisco-eol-small-business-nao-recebera-patch

A CVE-2024-20481 é uma vulnerabilidade de negação de serviço (DoS), que permite a um invasor remoto, sem necessidade de autenticação, sobrecarregar os recursos do RAVPN. Isso é feito através do envio massivo de solicitações de autenticação para o dispositivo comprometido, resultando na interrupção do serviço.

Segundo o aviso da Cisco, “essa vulnerabilidade é causada pelo esgotamento de recursos. Um invasor pode explorar o problema enviando um grande volume de solicitações de autenticação VPN para o dispositivo vulnerável. Caso a exploração seja bem-sucedida, o serviço RAVPN poderá ser paralisado, exigindo a recarga do dispositivo para restaurar o serviço.” Outros serviços que não estão relacionados à VPN permanecem inalterados.

Em abril de 2024, especialistas da Cisco Talos já haviam alertado para uma campanha de ataques de força bruta em larga escala que mirava VPNs e serviços SSH com credenciais comumente usadas. Na época, a Cisco emitiu orientações para mitigar ataques de pulverização de senhas direcionados a serviços RAVPN. Esses ataques visam não apenas os dispositivos Cisco, mas também concentradores de VPN de terceiros.

Agora, a Cisco confirmou que a falha CVE-2024-20481 está sendo ativamente explorada em ataques. “O Cisco PSIRT está ciente da exploração maliciosa da vulnerabilidade mencionada”, declarou a empresa em seu comunicado.

Além da CVE-2024-20481, a Cisco também abordou outras três falhas críticas:

  • CVE-2024-20412: vulnerabilidade de credenciais estáticas no software FTD das séries 1000, 2100, 3100 e 4200.
  • CVE-2024-20424: vulnerabilidade de injeção de comando no Cisco Secure Firewall Management Center.
  • CVE-2024-20329: vulnerabilidade de injeção de comando remoto SSH no Cisco ASA.

Até o momento, essas outras vulnerabilidades não foram exploradas ativamente, mas a Cisco recomenda que os administradores apliquem as correções disponíveis o mais rápido possível. A lista completa das vulnerabilidades corrigidas está disponível na página oficial de avisos de segurança da Cisco.