Vulnerabilidad - Ataque DoS hacia software CISCO ASA y FTD
Vulnerabilidad
Una vulnerabilidad nueva identificada como CVE-2024-20353 fue detectada por Cisco, tiene un puntaje CVSSv3 de 8.6 y podría resultar en un ataque de denegación de servicios (DoS) hacia los servidores web de administración y VPN de CISCO Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) [1].
Un atacante puede aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada hacia un servidor especifico. Un exploit exitoso le podría permitir al atacante provocar un ataque de denegación de servicios.
Las siguientes características podrían hacer que se habiliten los sockets de output SSL.
Configuración vulnerable del software ASA [1]
| Cisco ASA Software Feature | Possible Vulnerable Configuration |
| AnyConnect IKEv2 Remote Access (with client services) | crypto ikev2 enable [...] client-services port |
| Local Certificate Authority (CA)1 | crypto ca server |
| no shutdown | |
| Management Web Server Access (including ASDM and CSM)2 | http server enable |
| http | |
| Mobile User Security (MUS) | webvpn |
| mus password | |
| mus server enable port | |
| mus | |
| REST API3 | rest-api image disk0:/rest-api agent |
| SSL VPN | webvpn |
| enable |
1. En la versión 9.13 y posteriores del software Cisco ASA, la CA local está obsoleta y se ha eliminado.
2. El acceso al servidor web de administración solo sería vulnerable desde una dirección IP en el rango de comando http configurado.
3. La API REST es vulnerable solo desde una dirección IP en el rango de comando http configurado.
Configuración vulnerable del software FTD
| Cisco FTD Software Feature | Possible Vulnerable Configuration |
| AnyConnect IKEv2 Remote Access (with client services)1,2 | crypto ikev2 enable [...] client-services port |
| AnyConnect SSL VPN1,2 | webvpn |
| enable | |
| HTTP server enabled3 | http server enable |
| http |
1. Las funciones de VPN de acceso remoto se habilitan desde Dispositivos > VPN > Acceso remoto en el software Cisco Firepower Management Center (FMC) o desde Dispositivo > VPN de acceso remoto en Cisco Firepower Device Manager (FDM).
2. Las funciones de VPN de acceso remoto se admiten por primera vez a partir de la versión 6.2.2 del software Cisco FTD.
3. La función HTTP se habilita desde Configuración de la plataforma Firepower Threat Defense > HTTP en la consola Cisco FMC.
Productos y versiones afectadas
- FTD
- 6.4.0 – actualización a 6.4.0.18
- 6.6.0 - actualización a 6.6.7.2
- 7.0 - actualización a 7.0.6.2
- 7.1 - migrar a una versión fija en un tren diferente
- 7.2 - actualización a 7.2.6
- 7.3 - actualización a 7.3.1.2 (Disponible Proximamente)
- 7.4 - actualización a 7.4.1.1
- CISCO Adaptive Security Appliance (ASA)
- 9.12.x - actualización a 9.12.4.67
- 9.14.x - actualización a 9.14.4.24
- 9.16.x - actualización a 9.16.4.57
- 9.17.x - actualización a 9.17.1.39
- 9.18.x- actualización a 9.18.4.22
- 9.19.x - actualización a 9.19.1.28
- 9.20.x - actualización a 9.20.2.10
Recomendaciones
Determine si un dispositivo ASA o FTD está afectado:
Utilice socket show asp table | incluya el comando SSL y busque un socket de escucha SSL en cualquier puerto TCP. Si existe el output, el dispositivo debe considerarse vulnerable. El siguiente ejemplo muestra el resultado de un dispositivo Cisco ASA con dos sockets de escucha SSL en el puerto TCP 443 y el puerto TCP 8443:
| ciscoasa# show asp table socket | include SSL |
| SSL 00185038 LISTEN 172.16.0.250:443 0.0.0.0:* |
| SSL 00188638 LISTEN 10.0.0.250:8443 0.0.0.0:* |
Indicadores de compromiso [2]
| Actor-Controlled Infrastructure |
Multi-Tenant Infrastructure |
||
| Tipo | IOC | Tipo | IOC |
| IP | 192.36.57[.]181 | IP | 5.183.95[.]95 |
| IP | 185.167.60[.]85 | IP | 45.63.119[.]131 |
| IP | 185.227.111[.]17 | IP | 45.76.118[.]87 |
| IP | 176.31.18[.]153 | IP | 45.77.54[.]14 |
| IP | 172.105.90[.]154 | IP | 45.86.163[.]244 |
| IP | 185.244.210[.]120 | IP | 45.128.134[.]189 |
| IP | 45.86.163[.]224 | IP | 89.44.198[.]16 |
| IP | 172.105.94[.]93 | IP | 96.44.159[.]46 |
| IP | 213.156.138[.]77 | IP | 103.20.222[.]218 |
| IP | 89.44.198[.]189 | IP | 103.27.132[.]69 |
| IP | 45.77.52[.]253 | IP | 103.51.140[.]101 |
| IP | 103.114.200[.]230 | IP | 103.119.3[.]230 |
| IP | 212.193.2[.]48 | IP | 103.125.218[.]198 |
| IP | 51.15.145[.]37 | IP | 104.156.232[.]22 |
| IP | 89.44.198[.]196 | IP | 107.148.19[.]88 |
| IP | 131.196.252[.]148 | IP | 107.172.16[.]208 |
| IP | 213.156.138[.]78 | IP | 107.173.140[.]111 |
| IP | 121.227.168[.]69 | IP | 121.37.174[.]139 |
| IP | 213.156.138[.]68 | IP | 139.162.135[.]12 |
| IP | 194.4.49[.]6 | IP | 149.28.166[.]244 |
| IP | 185.244.210[.]65 | IP | 152.70.83[.]47 |
| IP | 216.238.75[.]155 | IP | 154.22.235[.]13 |
| IP | 154.22.235[.]17 | ||
| IP | 154.39.142[.]47 | ||
| IP | 172.233.245[.]241 | ||
| IP | 185.123.101[.]250 | ||
| IP | 192.210.137[.]35 | ||
| IP | 194.32.78[.]183 | ||
| IP | 205.234.232[.]196 | ||
| IP | 207.148.74[.]250 | ||
| IP | 216.155.157[.]136 | ||
| IP | 216.238.66[.]251 | ||
| IP | 216.238.71[.]49 | ||
| IP | 216.238.72[.]201 | ||
| IP | 216.238.74[.]95 | ||
| IP | 216.238.81[.]149 | ||
| IP | 216.238.85[.]220 | ||
| IP | 216.238.86[.]24 | ||
Referencias
- Cisco Adaptive Security Appliance and Firepower Threat Defense Software Web Services Denial of Service Vulnerability. (2024, 24 abril). Recuperado el 24 de abril de 2024 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
- Cisco Talos (2024, 24 abril). ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices. Talos Intelligence. Recuperado el 24 de abril de 2024 en: https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/
