Siber Muhbir

CVE-2024-20481 (CVSS puanı: 5.8) olarak izlenen güvenlik açığı, Cisco ASA'nın Uzaktan Erişim VPN (RAVPN) hizmetini ve Cisco Firepower Threat Defense (FTD) Yazılımını etkiliyor.

Kaynak tükenmesi nedeniyle ortaya çıkan güvenlik açığı, kimliği doğrulanmamış, uzak saldırganlar tarafından RAVPN hizmetinin DoS'una neden olmak için kullanılabilir.

Cisco bir danışma belgesinde, "Bir saldırgan, etkilenen bir cihaza çok sayıda VPN kimlik doğrulama isteği göndererek bu güvenlik açığından yararlanabilir" dedi. "Başarılı bir istismar, saldırganın kaynakları tüketmesine izin verebilir ve bu da etkilenen cihazda RAVPN hizmetinin DoS'una neden olabilir."

Ağ ekipmanı şirketi, RAVPN hizmetinin geri yüklenmesi, saldırının etkisine bağlı olarak cihazın yeniden yüklenmesini gerektirebilir.

CVE-2024-20481'i ele almak için doğrudan bir geçici çözüm bulunmamakla birlikte Cisco, müşterilerin parola püskürtme saldırılarına karşı koymak için önerileri takip edebileceğini söyledi.

• Günlüğe kaydetmeyi etkinleştir
• Uzaktan erişim VPN hizmetleri için tehdit algılamayı yapılandırma
• AAA kimlik doğrulamasını devre dışı bırakma gibi sağlamlaştırma önlemleri uygulayın ve
• Yetkisiz kaynaklardan gelen bağlantı girişimlerini manuel olarak engelleme

Kusurun, VPN'leri ve SSH hizmetlerini hedef alan büyük ölçekli bir kaba kuvvet kampanyasının parçası olarak tehdit aktörleri tarafından kötü niyetli bir bağlamda kullanıldığını belirtmekte fayda var.

Bu Nisan ayının başlarında Cisco Talos, 18 Mart 2024'ten bu yana Sanal Özel Ağ (VPN) hizmetlerine, web uygulaması kimlik doğrulama arayüzlerine ve SSH hizmetlerine yönelik kaba kuvvet saldırılarında bir artış olduğunu tespit etti.

Bu saldırılar, Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek ve Ubiquiti dahil olmak üzere farklı şirketlerden geniş bir ekipman yelpazesini seçti.

Talos, "Kaba zorlama girişimleri, genel kullanıcı adları ve belirli kuruluşlar için geçerli kullanıcı adları kullanıyor" dedi. "Bu saldırıların tümü, TOR çıkış düğümlerinden ve bir dizi başka anonimleştirme tüneli ve proxy'sinden kaynaklanıyor gibi görünüyor."

Cisco ayrıca sırasıyla FTD Yazılımı, Güvenli Güvenlik Duvarı Yönetim Merkezi (FMC) Yazılımı ve Adaptive Security Appliance'taki (ASA) diğer üç kritik kusuru düzeltmek için yamalar yayınladı -

• CVE-2024-20412 (CVSS puanı: 9.3) - Cisco Firepower 1000, 2100, 3100 ve 4200 Serisi için FTD Yazılımında, kimliği doğrulanmamış, yerel bir saldırganın statik kimlik bilgileri kullanarak etkilenen bir sisteme erişmesine izin verebilecek sabit kodlanmış parolalara sahip statik hesapların varlığı güvenlik açığı
• CVE-2024-20424 (CVSS puanı: 9.9) - FMC Yazılımının web tabanlı yönetim arayüzünde, kimliği doğrulanmış, uzak bir saldırganın kök olarak temel işletim sisteminde rastgele komutlar yürütmesine izin verebilecek HTTP isteklerinin yetersiz giriş doğrulaması güvenlik açığı
• CVE-2024-20329 (CVSS puanı: 9.9) - ASA'nın SSH alt sisteminde, kimliği doğrulanmış, uzak bir saldırganın işletim sistemi komutlarını kök olarak yürütmesine izin verebilecek yetersiz kullanıcı girişi güvenlik açığı

Ağ cihazlarındaki güvenlik açıklarının ulus devlet istismarlarının merkez noktası olarak ortaya çıkmasıyla birlikte, kullanıcıların en son düzeltmeleri uygulamak için hızlı hareket etmeleri çok önemlidir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.