Cisco dijo el miércoles que ha lanzado actualizaciones para abordar una falla de seguridad activamente explotada en su Adaptive Security Appliance (ASA) que podría conducir a una condición de denegación de servicio (DoS).
La vulnerabilidad, identificada como CVE-2024-20481 (puntuación CVSS: 5.8), afecta al servicio VPN de acceso remoto (RAVPN) del software Cisco ASA y Cisco Firepower Threat Defense (FTD).
Esta falla de seguridad, que surge debido al agotamiento de recursos, podría ser explotada por atacantes remotos no autenticados para provocar un DoS del servicio RAVPN.
«Un atacante podría aprovechar esta vulnerabilidad enviando una gran cantidad de solicitudes de autenticación de VPN a un dispositivo afectado», dijo Cisco en un aviso. «Si lo hiciera, podría permitir al atacante agotar los recursos, lo que provocaría un ataque de denegación de servicio (DoS) del servicio RAVPN en el dispositivo afectado».
La restauración del servicio RAVPN puede requerir una recarga del dispositivo dependiendo del impacto del ataque, agregó la compañía de equipos de red.
Si bien no existen soluciones alternativas directas para abordar CVE-2024-20481, Cisco dijo que los clientes pueden seguir las recomendaciones para contrarrestar los ataques de rociado de contraseñas:
- Habilitar el registro
- Configurar la detección de amenazas para servicios VPN de acceso remoto
- Aplicar medidas de refuerzo, como deshabilitar la autenticación AAA y
- Bloquear manualmente los intentos de conexión de fuentes no autorizadas
Vale la pena señalar que la falla ha sido utilizada en un contexto malicioso por actores de amenazas como parte de una campaña de fuerza bruta a gran escala dirigida a VPN y servicios SSH.
A principios de abril, Cisco Talos detectó un aumento en los ataques de fuerza bruta contra servicios de redes privadas virtuales (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde el 18 de marzo de 2024.
Estos ataques afectaron una amplia gama de equipos de diferentes empresas, incluidas Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek y Ubiquiti.
«Los intentos de ataque por fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas», señaló Talos en ese momento. «Todos estos ataques parecen tener su origen en nodos de salida de TOR y en una variedad de otros túneles y servidores proxy anónimos».
Cisco también ha lanzado parches para remediar otras tres fallas críticas en el software FTD, el software Secure Firewall Management Center (FMC) y el dispositivo de seguridad adaptativa (ASA), respectivamente:
- CVE-2024-20412 (puntuación CVSS: 9,3): vulnerabilidad de presencia de cuentas estáticas con contraseñas codificadas en el software FTD para Cisco Firepower Series 1000, 2100, 3100 y 4200 que podría permitir que un atacante local no autenticado acceda a un sistema afectado utilizando credenciales estáticas.
- CVE-2024-20424 (puntuación CVSS: 9,9): una vulnerabilidad de validación de entrada insuficiente de solicitudes HTTP en la interfaz de administración basada en web de FMC Software que podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios en el sistema operativo subyacente como root.
- CVE-2024-20329 (puntuación CVSS: 9,9): una vulnerabilidad de validación insuficiente de la entrada del usuario en el subsistema SSH de ASA que podría permitir que un atacante remoto autenticado ejecute comandos del sistema operativo como root.
Las vulnerabilidades de seguridad en los dispositivos de red se están convirtiendo en un punto central de las explotaciones de los estados nacionales, por lo que es esencial que los usuarios actúen rápidamente para aplicar las últimas correcciones.
Fuente y redacción: thehackernews.com