Sårbarheter i Cisco-produkter utnyttjas aktivt

Sårbarhet Cisco

Cisco varnar för tre sårbarheter i produktserierna Adaptive Security Appliance (ASA) och Firepower Threat Defense (FTD). Enligt Talos utnyttjas två av dessa aktivt. [1,5]

Sårbarheten CVE-2024-20353 kan utnyttjas av en angripare för att göra den sårbara enheten otillgänglig. Sårbarheten beror på bristfällig felkontroll vid läsning av HTTP header och kan resultera i att enheten oväntat startar om. [2]

Sårbarheten CVE-2024-20359 har fått CVSS-klassningen 6.0 men bedöms ändå som allvarlig av Cisco. Sårbarheten kan utnyttjas av en lokal angripare med administratörsrättigheter för att köra kod som root. Sårbarheten beror på bristfällig validering av filer som läses från systemets flashminne. Anledningen till att sårbarheten bedöms som allvarlig är att injecerad kod kan finnas kvar efter omstart. [3]

Cisco varnar även för sårbarheten CVE-2024-20358 som fått CVSS-klassningen 6.0 och bedöms som medium. Sårbarheten kan utnyttjas av en lokal angripare med administratörsrättigheter för att köra kod som root. [4]

Flera analyser beskriver hur angripare utnyttjar CVE-2024-20353 samt CVE-2024-20359. [5,6,7]

Påverkade produkter

Sårbarheterna påverkar följande produkter: Cisco Adaptive Security Appliance (ASA) Cisco Firepower Threat Defense (FTD)

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt samt att i övrigt följa leverantörens rekommendationer.

CERT-SE tar tacksamt emot information om relaterade incidenter och intrångsförsök.

Källor

[1] https://sec.cloudapps.cisco.com/security/center/publicationListing.x

[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2

[3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h

[4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-cmd-inj-ZJV8Wysm

[5] https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/

[6] https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf

[7] https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-runner.pdf