Cisco는 지난 4월 Cisco VPN 장치에 대한 대규모 무차별 대입 공격 중에 발견된 Cisco ASA 및 FTD(Firepower Threat Defense) 소프트웨어의 서비스 거부 결함을 수정했습니다.
이 결함은 CVE-2024-20481로 추적되며 최신 버전의 소프트웨어까지 Cisco ASA 및 Cisco FTD의 모든 버전에 영향을 미칩니다.
“Cisco ASA(Adaptive Security Appliance) 소프트웨어 및 Cisco FTD(Firepower Threat Defense) 소프트웨어의 RAVPN(원격 액세스 VPN) 서비스의 취약점으로 인해 인증되지 않은 원격 공격자가 RAVPN 서비스의 DoS(서비스 거부)를 유발할 수 있습니다. ,” CVE-2024-20481 보안 권고를 읽습니다.
“이 취약점은 리소스 고갈로 인해 발생합니다. 공격자는 영향을 받는 장치에 다수의 VPN 인증 요청을 보내 이 취약점을 악용할 수 있습니다. 악용에 성공하면 공격자가 리소스를 고갈시켜 장치에서 RAVPN 서비스에 대한 DoS가 발생할 수 있습니다. 영향을 받은 장치입니다.”
Cisco는 이 DDoS 공격이 장치에 영향을 미치면 RAVPN 서비스를 복원하기 위해 다시 로드가 필요할 수 있다고 말합니다.
Cisco PSIRT(Product Security Incident Response Team)는 이 취약점이 적극적으로 악용되고 있음을 알고 있지만 DoS 공격에서 Cisco ASA 장치를 표적으로 삼는 데 사용되지는 않았다고 밝혔습니다.
대신 이 결함은 지난 4월 다음을 포함한 다양한 네트워킹 하드웨어의 VPN 서비스를 대상으로 한 대규모 무차별 비밀번호 공격의 일부로 발견되었습니다.
- 시스코 보안 방화벽 VPN
- 체크포인트 VPN
- 포티넷 VPN
- SonicWall VPN
- RD 웹 서비스
- Miktro에서
- 드레이텍
- 편재
이러한 공격은 기업 네트워크에 대한 유효한 VPN 자격 증명을 수집하도록 설계되었습니다. 이 자격 증명은 다크 웹 시장에서 판매되거나 초기 액세스를 위해 랜섬웨어 집단에 판매되거나 데이터 도난 공격 시 네트워크를 침해하는 데 사용될 수 있습니다.
그러나 장치에 대한 수많은 순차적이고 빠른 인증 요청으로 인해 공격자는 자신도 모르게 장치의 리소스를 소모하여 Cisco ASA 및 FTD 장치에 서비스 거부 상태를 발생시켰습니다.
이 버그는 CWE-772 취약점으로 분류되며, 이는 소프트웨어가 VPN 인증 시도 중에 메모리와 같은 할당된 리소스를 적절하게 해제하지 않았음을 나타냅니다.
Cisco는 이 결함은 RAVPN 서비스가 활성화된 경우에만 악용될 수 있다고 밝혔습니다.
관리자는 다음 명령을 실행하여 장치에서 SSL VPN이 활성화되어 있는지 확인할 수 있습니다.
firewall# show running-config webvpn | include ^ enable
출력이 없으면 RAVPN 서비스가 활성화되지 않은 것입니다.
기타 Cisco 취약점
Cisco는 또한 FTD(Firepower Threat Defense), FMC(Secure Firewall Management Center) 및 ASA(Adaptive Security Appliance)에 영향을 미치는 3가지 심각도 결함을 포함하여 다양한 제품의 42개 취약점에 대해 37개의 보안 권고를 발표했습니다.
비록 결함 중 어느 것도 실제로 활발하게 악용되는 것으로 관찰되지는 않았지만, 그 성격과 심각도는 영향을 받는 시스템 관리자가 즉각적인 패치를 적용하는 것을 보장해야 합니다.
결함에 대한 요약은 다음과 같습니다.
- CVE-2024-20424: HTTP 요청의 부적절한 검증으로 인해 Cisco FMC 소프트웨어의 웹 기반 관리 인터페이스에 명령 주입 결함이 발생합니다. 이를 통해 최소한 ‘보안 분석가’ 권한을 가진 인증된 원격 공격자가 루트 권한으로 기본 OS에서 임의 명령을 실행할 수 있습니다. (CVSS v3.1 점수: 9.9)
- CVE-2024-20329: SSH를 통한 원격 CLI 명령의 사용자 입력 검증 부족으로 인해 발생하는 Cisco ASA의 원격 명령 주입 취약점입니다. 이를 통해 인증된 원격 공격자가 루트 수준 OS 명령을 실행할 수 있습니다. (CVSS v3.1 점수: 9.9)
- CVE-2024-20412: Firepower 1000, 2100, 3100 및 4200 시리즈 디바이스의 정적 자격 증명을 통해 로컬 공격자가 중요한 데이터에 제한 없이 액세스하고 구성을 수정할 수 있습니다. (CVSS v3.1 점수: 9.3)
CVE-2024-20424는 장치 구성에 관계없이 취약한 버전의 FMC를 실행하는 모든 Cisco 제품에 영향을 미칩니다. 공급업체는 이 결함에 대한 해결 방법을 제공하지 않았습니다.
CVE-2024-20329는 CiscoSSH 스택이 활성화되고 하나 이상의 인터페이스에서 SSH 액세스가 허용되는 ASA 릴리스에 영향을 미칩니다.
이 결함에 대해 제안된 해결 방법은 다음 명령을 사용하여 취약한 CiscoSSH 스택을 비활성화하고 기본 SSH 스택을 활성화하는 것입니다. "no ssh stack ciscossh"
이렇게 하면 활성 SSH 세션의 연결이 끊어지고 재부팅 후에도 지속되도록 변경 사항을 저장해야 합니다.
CVE-2024-20412는 Firepower 1000, 2100, 3100 및 4200 시리즈 디바이스에서 VDB 릴리스 387 이하가 포함된 FTD 소프트웨어 버전 7.1~7.4에 영향을 미칩니다.
Cisco는 기술 지원 센터를 통해 영향을 받은 고객이 사용할 수 있는 이 문제에 대한 해결 방법이 있다고 말합니다.
CVE-2024-20412의 경우 소프트웨어 공급업체는 시스템 관리자가 악의적인 활동을 감지하는 데 도움이 되도록 권고에 악용 징후도 포함했습니다.
정적 자격 증명 사용을 확인하려면 다음 명령을 사용하는 것이 좋습니다.
zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*
성공적인 로그인 시도가 나열되면 이는 악용의 징후일 수 있습니다. 출력이 반환되지 않으면 로그 보존 기간 동안 기본 자격 증명이 사용되지 않은 것입니다.
CVE-2024-20424 및 CVE-2024-20329에 대한 악용 감지 조언은 제공되지 않았지만 비정상적/비정상적인 이벤트에 대한 로그를 보는 것은 항상 의심스러운 활동을 찾는 확실한 방법입니다.
세 가지 결함 모두에 대한 업데이트는 Cisco Software Checker 도구를 통해 제공됩니다.