Nel mondo della sicurezza informatica, Cisco ha recentemente annunciato un aggiornamento urgente per risolvere una vulnerabilità critica nel software Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD). Questa falla di sicurezza, identificata come CVE-2024-20481 con un punteggio CVSS di 5.8, interessa il servizio Remote Access VPN (RAVPN) e potrebbe consentire a un attaccante remoto non autenticato di causare un'interruzione del servizio (DoS). La vulnerabilità, causata dall'esaurimento delle risorse, può essere sfruttata inviando un gran numero di richieste di autenticazione VPN a un dispositivo vulnerabile, esaurendo così le risorse del sistema e interrompendo il servizio RAVPN.

Cisco ha sottolineato come il ripristino del servizio RAVPN

potrebbe richiedere un riavvio del dispositivo, a seconda dell'entità dell'attacco subito. Sebbene non esistano soluzioni temporanee dirette per affrontare la CVE-2024-20481, Cisco ha fornito delle raccomandazioni per contrastare gli attacchi di password spraying. Tra queste misure, Cisco suggerisce di attivare la registrazione dei log, configurare il rilevamento delle minacce per i servizi VPN di accesso remoto, applicare misure di hardening come la disabilitazione dell'autenticazione AAA e bloccare manualmente i tentativi di connessione da fonti non autorizzate.

La vulnerabilità è stata sfruttata in contesti malevoli

da attori del crimine informatico come parte di una campagna su larga scala di attacchi brute-force mirati ai servizi VPN e SSH. Già in aprile, Cisco Talos aveva segnalato un aumento di attacchi brute-force contro i servizi VPN, le interfacce di autenticazione delle applicazioni web e i servizi SSH. Questi attacchi hanno preso di mira un'ampia gamma di apparecchiature di diverse aziende, tra cui Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek e Ubiquiti. Secondo Talos, i tentativi di brute-forcing utilizzano nomi utente generici e nomi utente validi per specifiche organizzazioni, e sembrano provenire principalmente da nodi di uscita TOR e altri tunnel e proxy anonimizzanti.

Inoltre, Cisco ha rilasciato patch per correggere altre tre vulnerabilità critiche

nel software FTD, nel Secure Firewall Management Center (FMC) e nell'ASA. Queste includono la CVE-2024-20412, che riguarda la presenza di account statici con password hard-coded; la CVE-2024-20424, un'insufficiente validazione degli input HTTP nel software FMC; e la CVE-2024-20329, che riguarda una valida del input insufficiente nel sottosistema SSH dell'ASA. Questi aggiornamenti sono essenziali per proteggere i dispositivi di rete da potenziali sfruttamenti da parte di attori statali e altre minacce.