Cisco ASA & FTD修复拒绝服务漏洞CVE-2024-20481

Cisco Adaptive Security Appliance是思科（Cisco）一款网络安全设备，用于提供防火墙、虚拟专用网络（VPN）和入侵防御等安全功能。

Cisco Firepower Threat Defense（FTD）是思科（Cisco）公司推出的一款集成化网络安全解决方案，该产品旨在提供全面性的网络保护。

一、基本情况

栋科技漏洞库关注到思科2024年10月23日针对旗下防火墙系统ASA、集成化网络安全解决方案FTD及集中管控软件FMC等发布更新修复。

思科（Cisco）本次系列安全公告中共披露51项漏洞，含CVE-2024-20481、CVE-2024-20329、CVE-2024-20412、CVE-2024-20424等。

二、漏洞分析

CVE-2024-20329

CVE-2024-20329存在于ASA系统，为SSH远程命令注入漏洞，攻击者在未经授权的情况下，远程以root的权限执行操作系统层级的命令。

该漏洞CVSS评分9.9，源于未充分验证用户输入内容，导致攻击者有机会通过SSH远程执行命令过程中，借由提出伪造的输入利用漏洞。

一旦成功触发CVE-2024-20329，攻击者就能以root等级的权限在操作系统底层执行命令。

CVE-2024-20424

CVE-2024-20329存在于管理平台FMC，属于命令注入类型的弱点，未通过身份验证的攻击者可远程在操作系统底层以root执行任意命令。

该漏洞CVSS评分9.9，源于FMC特定HTTP请求输入验证不够充分，攻击者借由发送伪造的HTTP请求在网页管理界面进行身份验证触发。

攻击者利用该漏洞掌握root权限对FMC或纳入此系统进行管理的FTD防火墙执行命令，但须先取得被授与安全分析师角色的有效用户凭证。

CVE-2024-20412

CVE-2024-20412高危漏洞影响主要执行FTD系统的Firepower 1000、2100、3100、4200系列防火墙，这一漏洞的CVSS3.1评分为9.3分。

该漏洞涉及多个固定账号密码被写死（hard-coded passwords）在系统的状况，攻击者能够利用该漏洞在命令行界面（CLI）上登录系统。

未经身份验证的攻击者利用静态凭证访问受影响系统，截取敏感资讯、执行有限调试作业、篡改部分组态，或导致设备无法正常开机系统。

CVE-2024-20481

CVE-2024-20481漏洞存在于Cisco ASA 和FTD软件的远程访问VPN（RAVPN）中，CVSS评分为5.8，评分不高但发现有在野利用迹象。

未经身份验证的远程攻击者通过向受影响的设备发送大量的VPN身份验证请求来利用该漏洞，从而实现远程发动拒绝服务（DoS）攻击。

该漏洞源于资源耗尽，成功利用这一漏洞可能会导致攻击者耗尽资源，从而导致受影响设备上的 RAVPN 服务遭受服务拒绝服务（DoS）。

根据攻击的影响可能需要重新加载设备才能恢复 RAVPN 服务，与 VPN 无关的服务不受影响，想要缓解该漏洞，目前只能套用软件更新。

三、影响范围

1、如果客户思科产品运行的是存在漏洞的 Cisco ASA 或 FTD 软件版本并启用 RAVPN 服务，则容易遭受CVE-2024-20481这一漏洞影响。

思科提供了软件检查器工具帮助客户确定其软件中是否存在漏洞，判断当前设备的软件版本是否受这些漏洞影响，并更新到不受影响版本。

Cisco Software Checker工具使用说明：

https://sec.cloudapps.cisco.com/security/center/softwarechecker.x

2、CVE-2024-20481漏洞利用的先决条件是启用RAVPN服务，可通过在设备CLI上使用相关命令确定设备已经启用SSL VPN，命令如下：

show running-config webvpn | include ^ enable

如果该命令没有输出则表示任何接口上都未启用 SSL VPN，且设备不易受到该漏洞影响；如果命令输入如下，则表明已启用了SSL VPN。

firewall# show running-config webvpn | include ^ enable
enable outside

四、修复建议

该漏洞已修复，受影响用户请利用官方提供的工具或措施进行排查，并升级到不受影响/最新修复版本或关闭设备易受攻击的配置和功能。

五、参考链接

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-bf-dos-vDZhLqrW