Cisco phát hành bản sửa lỗi khẩn cấp cho lỗ hổng phần mềm ASA và FTD đang bị khai thác thực tế

Vào thứ Tư vừa qua, Cisco thông báo họ đã phát hành một bản cập nhật mới nhằm khắc phục một lỗ hổng bảo mật nghiêm trọng gây ra nguy cơ từ chối dịch vụ (DoS) cho các thiết bị Adaptive Security Appliance (ASA) của Cisco. 

Lỗ hổng này, được theo dõi với mã CVE-2024-20481 (Điểm CVSS 5.8), đang bị khai thác thực tế một cách tích cực, ảnh hưởng đến dịch vụ VPN truy cập từ xa (RAVPN) và Phần mềm Cisco Firepower Threat Defense (FTD), làm gián đoạn các dịch vụ quan trọng.

Theo Cisco, lỗ hổng này cho phép hacker chưa được xác thực thực hiện tấn công từ xa bằng cách gửi hàng loạt yêu cầu xác thực VPN liên tiếp đến thiết bị, qua đó làm cạn kiệt tài nguyên và gây ra tình trạng từ chối dịch vụ (DoS) cho RAVPN. Cisco cũng lưu ý rằng để phục hồi hoàn toàn dịch vụ RAVPN sau một cuộc tấn công, có thể cần phải khởi động lại thiết bị, tùy thuộc vào mức độ ảnh hưởng của cuộc tấn công.

Mặc dù không có biện pháp khắc phục trực tiếp nào để đối phó với CVE-2024-20481, Cisco đã đưa ra một số khuyến nghị để giúp khách hàng bảo vệ mình trước các cuộc tấn công bao gồm:

  • Kích hoạt tính năng ghi nhật ký
  • Cài đặt phát hiện mối đe dọa cho các dịch vụ VPN truy cập từ xa
  • Áp dụng các biện pháp tăng cường như vô hiệu hóa xác thực AAA
  • Chặn thủ công các nỗ lực kết nối từ các nguồn không đáng tin cậy

Điều đáng chú ý là lỗ hổng này đã bị kẻ tấn công khai thác trên diện rộng như một phần của chiến dịch tấn công bằng vũ lực quy mô lớn nhắm vào các dịch vụ VPN và SSH. Tin tặc đang nhắm mục tiêu vào nhiều thiết bị từ các nhà cung cấp khác nhau, bao gồm những tên tuổi lớn như Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek và Ubiquiti.  

Chiến dịch tấn công này sử dụng phương pháp brute-force, thử hàng loạt các tên người dùng phổ biến và cả những tên người dùng hợp lệ được tìm thấy trong các tổ chức cụ thể. Để che giấu tung tích, tin tặc sử dụng mạng lưới TOR và các proxy ẩn danh khác làm cho việc truy vết và ngăn chặn chúng trở nên khó khăn hơn. 

Đầu tháng 4 này, Cisco Talos đã báo cáo sự gia tăng đột biến các cuộc tấn công bằng phương pháp brute-force vào các dịch vụ VPN, giao diện xác thực ứng dụng web và dịch vụ SSH kể từ ngày 18 tháng 3 năm 2024.

Cisco cũng đã phát hành các bản vá để khắc phục ba lỗ hổng nghiêm trọng khác trong Phần mềm FTD, phần mềm Firepower Management Center (FMC) và Thiết bị Adaptive Security Appliance (ASA) bao gồm:

CVE-2024-20412 (Điểm CVSS: 9.3) Lỗ hổng này ảnh hưởng đến phần mềm Firepower Threat Defense (FTD) trên một số dòng thiết bị Cisco. Kẻ tấn công có thể lợi dụng lỗ hổng này để truy cập trái phép vào hệ thống ngay cả khi chưa được xác thực, bằng cách sử dụng một tài khoản mặc định có mật khẩu cố định.

CVE-2024-20424 (Điểm CVSS: 9.9) Lỗ hổng này nằm trong giao diện quản lý web của phần mềm Firepower Management Center (FMC). Tin tặc đã xác thực có thể khai thác lỗ hổng này để thực thi mã độc từ xa với quyền quản trị cao nhất (root), từ đó chiếm quyền kiểm soát toàn bộ hệ thống.

CVE-2024-20329 (Điểm CVSS: 9.9) Lỗ hổng này ảnh hưởng đến hệ thống con SSH của Adaptive Security Appliance (ASA). Kẻ tấn công đã xác thực có thể thực thi mã độc với quyền root, chiếm quyền kiểm soát thiết bị.

Các lỗ hổng bảo mật trong thiết bị mạng đang ngày càng trở thành mục tiêu tấn công của các nhóm tin tặc, thậm chí cả các nhóm tấn công được nhà nước bảo trợ. Vì vậy, việc cập nhật các bản vá bảo mật mới nhất là vô cùng quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng.

Nguồn: the hacker news