Aggiornamento del 24-10-2024 delle ore 15

Cisco ha recentemente rilasciato un aggiornamento per risolvere una vulnerabilità critica, CVE-2024-20481, che colpisce i suoi dispositivi Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD). La falla, attivamente sfruttata in attacchi zero-day, riguarda il servizio Remote Access VPN (RAVPN) e potrebbe portare a un Denial of Service (DoS).

Come riportato da Matrice Digitale, la vulnerabilità permette a un attaccante remoto non autenticato di inviare un numero elevato di richieste di autenticazione VPN per esaurire le risorse del dispositivo, causando un’interruzione del servizio. In alcuni casi, il ripristino del sistema potrebbe richiedere un riavvio completo del dispositivo. Cisco ha confermato che questa vulnerabilità è parte di una campagna di brute-force in corso, mirata principalmente a VPN e servizi SSH, che sfrutta tunnel di anonimato come TOR per occultare la provenienza degli attacchi.

Cisco ha rilasciato anche patch per altre vulnerabilità critiche, come:

• CVE-2024-20412 (CVSS 9.3): un problema di account statici con password hardcoded nei dispositivi FTD, che potrebbe consentire accessi non autorizzati.
• CVE-2024-20424 (CVSS 9.9): una vulnerabilità di validazione insufficiente degli input nell’interfaccia web di gestione del Secure Firewall Management Center (FMC), che permette l’esecuzione di comandi arbitrari con privilegi root.
• CVE-2024-20329 (CVSS 9.9): una vulnerabilità nell’SSH subsystem di ASA, che consente l’esecuzione di comandi di sistema come root.

Gli utenti sono invitati ad applicare queste patch con urgenza, poiché queste vulnerabilità sono sotto attacco attivo, soprattutto da parte di gruppi di hacker sponsorizzati da stati nazionali.

Tutte le vulnerabilità scoperte

Cisco ha recentemente rilasciato importanti aggiornamenti riguardanti diverse vulnerabilità legate ai software Cisco. Queste vulnerabilità, distribuite su una vasta gamma di servizi, possono compromettere seriamente la sicurezza di reti e dispositivi, se non affrontate tempestivamente. Di seguito un’analisi dettagliata dei principali advisory di sicurezza di Cisco.

Denial of Service (DoS) del Server SSH di Cisco ASA

Una delle vulnerabilità più rilevanti riguarda il server SSH di Cisco ASA. Questa vulnerabilità può essere sfruttata per causare un Denial of Service (DoS) sui dispositivi che utilizzano questa funzionalità. L’exploit si manifesta quando un attacco malevolo sovraccarica il server SSH, esaurendo le risorse e rendendo inaccessibile il dispositivo. Per mitigare questa minaccia, Cisco ha rilasciato un aggiornamento software che risolve il problema, e invita i clienti a consultare regolarmente la pagina degli advisory di sicurezza Cisco per verificare l’esposizione e implementare le soluzioni di upgrade adeguate.

In tutti i casi, Cisco consiglia di assicurarsi che i dispositivi abbiano sufficiente memoria e che le configurazioni hardware e software siano compatibili con le nuove release. Gli utenti possono utilizzare il tool Cisco Software Checker per identificare le versioni affette e quelle sicure. Questo strumento verifica automaticamente le vulnerabilità e suggerisce la prima versione software che corregge il problema.

Vulnerabilità di Iniezione di Comandi SSH

Un’altra grave vulnerabilità riguarda l’iniezione di comandi remoti attraverso il server SSH di Cisco ASA. Questo tipo di attacco permette a un utente non autorizzato di eseguire comandi arbitrari sul dispositivo vulnerabile. Cisco ha rilasciato aggiornamenti software gratuiti per risolvere questa vulnerabilità e raccomanda ai clienti di verificare sempre la validità delle loro licenze software prima di installare gli aggiornamenti. La pagina di supporto di Cisco offre ulteriori dettagli sui requisiti di licenza e sui download necessari.

Per chi non dispone di un contratto di assistenza con Cisco, è possibile ottenere gli aggiornamenti contattando il Cisco TAC, fornendo il numero di serie del prodotto e il riferimento all’advisory. L’aggiornamento tempestivo è fondamentale per garantire la protezione dei sistemi contro potenziali attacchi.

Denial of Service (DoS) nella VPN di Accesso Remoto

Una terza vulnerabilità di grande impatto riguarda la VPN di accesso remoto gestita da Cisco ASA e FTD. Gli attacchi di tipo Denial of Service (DoS) contro questa funzionalità possono interrompere le connessioni VPN, bloccando l’accesso remoto ai dispositivi. Anche in questo caso, Cisco ha rilasciato aggiornamenti software per mitigare il rischio. È fondamentale che i clienti con contratti di assistenza aggiornino immediatamente il software, consultando gli advisory e utilizzando il tool Cisco Software Checker per identificare eventuali esposizioni.

Cisco consiglia inoltre di verificare le risorse hardware e di assicurarsi che le configurazioni siano compatibili con le nuove release del software. Nel caso in cui le informazioni non siano chiare, è possibile contattare il Cisco Technical Assistance Center per ulteriore supporto.

Vulnerabilità TLS e DoS su Cisco ASA e FTD: Aggiornamenti Critici

Un’altra vulnerabilità significativa riguarda il protocollo TLS (Transport Layer Security) nei dispositivi Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD). Questa debolezza può essere sfruttata per causare un attacco di tipo Denial of Service (DoS), impedendo la corretta gestione delle comunicazioni TLS. Il risultato è l’interruzione del servizio, con gravi ripercussioni sull’operatività del dispositivo e sulla rete.

Per mitigare il rischio, Cisco ha rilasciato aggiornamenti software gratuiti, accessibili ai clienti tramite i consueti canali di aggiornamento. L’azienda sottolinea che gli utenti devono assicurarsi di avere una licenza valida per i software interessati, poiché solo i clienti con licenze in regola possono installare gli aggiornamenti. Per maggiori dettagli sui termini della licenza, Cisco mette a disposizione una guida sulla gestione delle licenze software sul proprio sito ufficiale.

La vulnerabilità TLS non è limitata solo alle versioni software specifiche. Gli utenti possono utilizzare il Cisco Software Checker per determinare quali versioni di ASA e FTD sono affette, e quale release è stata rilasciata per correggere tutte le vulnerabilità rilevate. È importante che i clienti mantengano aggiornati i loro dispositivi e verifichino regolarmente gli advisory di sicurezza Cisco per prevenire potenziali attacchi.

Cisco incoraggia tutti gli utenti, in particolare quelli senza un contratto di assistenza, a contattare il Cisco Technical Assistance Center (TAC) se hanno difficoltà nell’ottenere gli aggiornamenti necessari. Questo garantisce che anche chi non dispone di un contratto possa comunque beneficiare delle patch di sicurezza critiche.

Link all’advisory sulla vulnerabilità TLS

Vulnerabilità SSL VPN di Cisco ASA e FTD: DoS mirato

Un’altra vulnerabilità critica che colpisce il software Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) è legata all’autenticazione tramite SSL VPN. Gli attacchi mirati a questa funzionalità possono causare un Denial of Service (DoS), rendendo i dispositivi vulnerabili non disponibili per l’accesso remoto tramite VPN. Cisco ha già rilasciato aggiornamenti per mitigare questa problematica, invitando i clienti a consultare regolarmente la pagina degli advisory di sicurezza Cisco per valutare l’esposizione e implementare le soluzioni di upgrade adeguate.

Per prevenire questa vulnerabilità, è essenziale che gli utenti eseguano tempestivamente gli aggiornamenti del software e verifichino la compatibilità delle configurazioni hardware e software con le nuove versioni. In caso di dubbi, Cisco raccomanda di contattare il Technical Assistance Center (TAC) per ricevere assistenza. Advisory Cisco SSL VPN DoS

Denial of Service Forzato per VPN su Cisco ASA e FTD

Oltre alla vulnerabilità SSL VPN, un’altra problematica di rilievo riguarda la possibilità di attacchi brute force contro la VPN di accesso remoto di Cisco ASA e FTD. Questa vulnerabilità permette a un attaccante di sfruttare tentativi ripetuti di accesso, causando un Denial of Service (DoS) che compromette la disponibilità del dispositivo. Per risolvere questo problema, Cisco ha rilasciato aggiornamenti software gratuiti e invita i clienti a utilizzare il Cisco Software Checker per verificare quali versioni sono vulnerabili e quali patch applicare.

L’aggiornamento è fondamentale per prevenire un potenziale attacco brute force che potrebbe bloccare l’accesso ai sistemi di rete critici. Per maggiori dettagli e risorse, consultare l’advisory ufficiale Cisco. Advisory VPN brute force DoS

Politiche di Accesso Dinamico e DoS su Cisco ASA e FTD

Infine, Cisco ha rivelato una vulnerabilità nelle politiche di accesso dinamico (Dynamic Access Policies, DAP) del software Cisco ASA e FTD. Questa vulnerabilità potrebbe consentire a un attaccante di sfruttare le politiche DAP per causare un Denial of Service (DoS). Anche in questo caso, Cisco ha rilasciato aggiornamenti software che correggono il problema. Gli utenti sono incoraggiati a verificare lo stato delle loro installazioni e a implementare le soluzioni di aggiornamento consigliate per evitare interruzioni nei servizi di accesso remoto.

Cisco mette a disposizione una serie di strumenti per supportare i clienti nel determinare quali versioni di ASA e FTD sono sicure e compatibili con i loro ambienti operativi, tra cui il Cisco Secure Firewall Compatibility Guide. Advisory DAP DoS

Vulnerabilità IKEv2 VPN e DoS su Cisco ASA e FTD

Una vulnerabilità critica riguardante il protocollo IKEv2 nei dispositivi Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) consente di eseguire attacchi Denial of Service (DoS) sfruttando errori nell’elaborazione delle connessioni VPN. Questo tipo di attacco può causare il crash del sistema, impedendo le comunicazioni tramite VPN. Cisco ha rilasciato aggiornamenti software per mitigare questa minaccia. È consigliabile l’uso del Cisco Software Checker per verificare l’esposizione e applicare le patch necessarie. Advisory IKEv2 VPN DoS

Vulnerabilità ACL NSG su Cisco ASA e FTD

Un’altra vulnerabilità riscontrata riguarda la possibilità di bypassare le liste di controllo degli accessi (ACL) nei dispositivi Cisco ASA e FTD. Questo problema si presenta specificamente nell’implementazione delle ACL NSG, permettendo potenzialmente a utenti non autorizzati di accedere a risorse che dovrebbero essere protette. Anche in questo caso, Cisco ha rilasciato aggiornamenti per correggere la vulnerabilità e invita i clienti a consultare regolarmente gli advisory di sicurezza. Advisory ACL Bypass

Esecuzione di Codice Locale Persistente su Cisco ASA e FTD

Infine, una vulnerabilità legata all’esecuzione di codice locale persistente è stata individuata nei dispositivi Cisco ASA e FTD. Questa debolezza consente a un attaccante con accesso fisico o privilegi amministrativi di eseguire codice arbitrario, potenzialmente compromettendo la sicurezza del sistema. Cisco ha rilasciato aggiornamenti per risolvere questo problema e invita tutti i clienti a verificare se i loro sistemi sono vulnerabili utilizzando il tool Cisco Software Checker. Advisory Local Code Execution

Denial of Service SNMP su Cisco ASA e FTD

Una vulnerabilità riguardante il protocollo SNMP (Simple Network Management Protocol) nei dispositivi Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) permette ad attaccanti di sfruttare la gestione delle risorse per causare un Denial of Service (DoS). Cisco ha rilasciato aggiornamenti software gratuiti per mitigare questa vulnerabilità. È fondamentale che i clienti eseguano tempestivamente gli aggiornamenti, soprattutto se utilizzano SNMP per la gestione dei loro dispositivi. Ulteriori dettagli sono disponibili nell’advisory ufficiale di Cisco. Advisory SNMP DoS

Denial of Service nella VPN SSL su Cisco ASA e FTD

Un’altra vulnerabilità significativa riguarda la gestione della memoria nella VPN SSL dei dispositivi Cisco ASA e FTD. Questa debolezza può essere sfruttata per esaurire le risorse di memoria, portando a un Denial of Service (DoS) e bloccando l’accesso remoto sicuro. Cisco ha rilasciato aggiornamenti software per risolvere questa vulnerabilità e raccomanda agli utenti di aggiornare immediatamente i propri sistemi per evitare interruzioni del servizio. Maggiori informazioni sono disponibili nell’advisory ufficiale. Advisory VPN SSL DoS

Denial of Service su Cisco ASA e FTD Virtuali tramite SSL VPN

Una vulnerabilità critica che colpisce il Cisco Adaptive Security Virtual Appliance e il software Secure Firewall Threat Defense Virtual consente di sfruttare la funzionalità SSL VPN per eseguire attacchi Denial of Service (DoS). Questo problema può impedire l’accesso remoto sicuro tramite VPN, rendendo inaccessibili i dispositivi virtualizzati di sicurezza. Cisco ha rilasciato aggiornamenti software gratuiti per mitigare questa vulnerabilità, e raccomanda l’uso del Cisco Software Checker per identificare quali versioni sono affette.

Gli utenti senza un contratto di servizio possono contattare il Cisco Technical Assistance Center (TAC) per ottenere assistenza nell’aggiornamento del software. Cisco consiglia sempre di assicurarsi che i dispositivi abbiano le risorse necessarie e che le configurazioni siano compatibili con le nuove release prima di procedere con gli aggiornamenti. Advisory SSL VPN DoS Virtual

Denial of Service nel Cisco Secure Client Software

Una vulnerabilità nel Cisco Secure Client Software può causare un attacco Denial of Service (DoS) se sfruttata. Cisco ha già rilasciato un aggiornamento che corregge questa vulnerabilità, disponibile dalla versione 5.1.4.74. Gli utenti devono aggiornare il software alla versione più recente per proteggersi da potenziali attacchi.

Un dettaglio importante riguarda il Cisco AnyConnect Secure Mobility Client versione 4.x, che ha raggiunto la fine del ciclo di vita il 31 marzo 2024. Gli utenti che utilizzano versioni precedenti devono migrare a Cisco Secure Client Software 5.x per continuare a ricevere supporto e aggiornamenti di sicurezza. Advisory Cisco Secure Client DoS

Vulnerabilità di Iniezione di Comandi su Cisco FMC

Una vulnerabilità di iniezione di comandi è stata individuata nel software Cisco Secure Firewall Management Center (FMC). Questa vulnerabilità consente a un attaccante di eseguire comandi arbitrari sul dispositivo, compromettendo la sicurezza del sistema. Cisco ha rilasciato aggiornamenti software per mitigare questo rischio e invita i clienti a consultare regolarmente il Cisco Software Checker per identificare le versioni vulnerabili.

Gli utenti sono incoraggiati a verificare le risorse hardware e la compatibilità con le nuove release per garantire il corretto funzionamento dopo l’aggiornamento. Advisory Cisco FMC Command Injection

Vulnerabilità di Iniezione di Comandi nei Backup Cluster di Cisco FMC

Una vulnerabilità nel backup dei cluster del software Cisco Secure Firewall Management Center (FMC) permette di eseguire comandi arbitrari durante i processi di backup. Questo potrebbe compromettere la sicurezza dei dati gestiti nel cluster. Cisco ha rilasciato aggiornamenti per risolvere il problema, disponibili tramite i canali di aggiornamento software abituali. Gli utenti sono invitati a utilizzare il Cisco Software Checker per verificare se sono vulnerabili. Advisory Cluster Backup Command Injection

Vulnerabilità di Lettura di File Arbitraria su Cisco FMC

Un’altra vulnerabilità è stata individuata nel Cisco Secure Firewall Management Center (FMC), che consente la lettura arbitraria di file non autorizzati. Questo può esporre dati sensibili, compromettendo la sicurezza del sistema. Cisco ha rilasciato aggiornamenti software per correggere il problema, e si raccomanda di aggiornare i dispositivi per prevenire exploit. Advisory Arbitrary File Read

Vulnerabilità di Iniezione HTML su Cisco FMC

Una vulnerabilità di iniezione HTML nel software Cisco Secure Firewall Management Center (FMC) permette a un attaccante di inserire codice HTML dannoso, potenzialmente alterando il comportamento dell’applicazione e compromettendo la sicurezza del sistema. Cisco ha rilasciato aggiornamenti software per mitigare questo rischio, disponibili per tutti i clienti tramite i consueti canali di aggiornamento. Advisory HTML Injection

Escalation di Privilegi su Cisco FMC

Un’altra vulnerabilità di elevazione dei privilegi su Cisco FMC consente a un attaccante con accesso limitato di ottenere privilegi amministrativi completi. Questo può compromettere la sicurezza generale del sistema. Cisco ha rilasciato aggiornamenti software per risolvere questa problematica, e raccomanda agli utenti di eseguire aggiornamenti tempestivi. Advisory Privilege Escalation