Active Exploits Target Cisco ASA and FTD VPNs: Urgent Update Needed (CVE-2024-20481)
2024/10/23 SecurityOnline — Cisco が公表したのは、Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTD) に存在し、アクティブに悪用されている脆弱性 CVE-2024-20481 (CVSS:5.8) の修正に関する情報である。この脆弱性は、ASA/FTD ソフトウェアの脆弱なリリースを実行し、RAVPN (Remote Access VPN) が有効化されているデバイスに影響を与えるものである。その悪用に成功した攻撃者は、RAVPN サービスに対してサービス拒否 (DoS) 攻撃を仕掛ける可能性を手にする。
Cisco のアドバイザリには、「この脆弱性は、リソース枯渇の欠陥に起因する。この脆弱性を悪用する攻撃者は、影響を受けるデバイスに対して、大量の VPN 認証リクエストを送信するところから侵害を開始する。そして、悪用に成功すると、リソースの枯渇を引き起こし、その結果として、影響を受けるデバイス上の RAVPN サービスに対して、DoS 攻撃を仕掛ける可能性を手にする」と記されている。
つまり、VPN サービスに認証リクエストを大量に送信する攻撃者は、システム・リソースを圧倒することで、正規ユーザーのアクセスを妨害する可能性を手にする。このような状況に陥った RAVPN の機能を復元するためには、デバイスの再起動が必要になる場合もある。その一方で、VPN に関連しないサービスには影響が生じないと、Cisco は指摘している。
Cisco が推奨するのは、デバイスの CLI 上で以下のコマンドを実行し、この脆弱性の有無を確認することだ。
show running-config webvpn | include ^ enable
このコマンドの出力により、SSL VPN の有効化/無効化が示され、対象デバイスにおける脆弱性の有無が確認できる。
Cisco のアドバイザリでは、この脆弱性を悪用する一般的な方法である、パスワード・スプレー攻撃の可能性を特定する指針が提供されている。その兆候として挙げられるのは、認証拒否やログイン試行の失敗などの、特定のログメッセージが大量に表示される状況である。また、show aaa-server コマンドを用いる認証リクエストと拒否の量を監視することで、進行中の攻撃に対する検出も可能になる。
残念ながら、現時点では、CVE-2024-20481 に対する回避策は存在しない。すでに Cisco は、ソフトウェア・アップデートをリリースし、この問題に対処している。したがって、ユーザーに対して強く推奨されるのは、問題が修正されたバージョンへと、可能な限り早急にアップグレードすることだ。
さらに、同社が顧客に推奨するのは、修正リリースをインストールした後に、Cisco Secure Firewall ASA Firewall CLI Configuration Guide の “Configure Threat Detection for VPN Services” セクションを確認することだ。このセクションでは、VPN 関連の攻撃に対する保護を、有効化するための方法が説明されている。
Cisco PSIRT は、この脆弱性の悪用について認識している。Cisco ASA/FTD ソフトウェアにおいて、RAVPN サービスに依存している組織は、システムのアップデートを優先し、DoS 攻撃のリスクを軽減し、業務の継続性を確保する必要がある。
Cisco のASA/FTD に存在する脆弱性 CVE-2024-20481 が、積極的に悪用されているようです。ご利用のチームは、ご注意ください。Cisco のアドバイザリにも、「The Cisco Product Security Incident Response Team (PSIRT) is aware of malicious use of the vulnerability that is described in this advisory」と記されています。この脆弱性の CVSS 値は 5.8 であり、Cisco も Medium に分類していますが、脅威アクターにとって悪用しやすい欠陥のようです。よろしければ、Cisco で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.