Cisco แก้ไขช่องโหว่ DoS บน VPN ที่ถูกค้นพบระหว่างการโจมตีแบบ Password Spray

Cisco ออกแพตช์แก้ไขช่องโหว่ Denial of Service บนซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) หลังถูกค้นพบระหว่างการโจมตีในเดือนเมษายน

ช่องโหว่นี้มีรหัส CVE-2024-20481 ส่งผลกระทบต่อซอฟต์แวร์ Cisco ASA และ FTD ทุกเวอร์ชัน เกิดจากปัญหาการใช้ทรัพยากรที่มากเกินไปในบริการ Remote Access VPN (RAVPN) ทำให้ผู้โจมตีสามารถส่งคำขอยืนยันตัวตน VPN จำนวนมากเพื่อทำให้บริการหยุดทำงานได้ ช่องโหว่นี้ถูกจัดอยู่ในประเภท CWE-772 ซึ่งเกิดจากการที่ซอฟต์แวร์ไม่สามารถจัดการทรัพยากรที่ถูกจองไว้ได้อย่างเหมาะสมระหว่างการพยายามยืนยันตัวตนผ่าน VPN

ช่องโหว่ดังกล่าวถูกค้นพบโดยบังเอิญระหว่างการโจมตีแบบ Brute-force ขนาดใหญ่ต่อบริการ VPN จากหลากหลายผู้ผลิต รวมถึง Checkpoint, Fortinet, SonicWall, RD Web Services, Mikrotik, Draytek และ Ubiquiti ที่เกิดขึ้นในเดือนเมษายน โดยผู้โจมตีมีเป้าหมายเพื่อขโมยข้อมูลการเข้าสู่ระบบ VPN สำหรับเครือข่ายองค์กร เพื่อนำไปขายในตลาดมืด อย่างไรก็ตาม การส่งคำขอยืนยันตัวตนจำนวนมากอย่างรวดเร็วและต่อเนื่องได้ส่งผลให้อุปกรณ์ Cisco ASA และ FTD ใช้ทรัพยากรจนหมด จนเกิดสถานะ Denial of Service

Cisco Product Security Incident Response Team (PSIRT) แนะนำให้ผู้ดูแลระบบตรวจสอบว่าบริการ RAVPN เปิดใช้งานอยู่หรือไม่ด้วยคำสั่ง “show running-config webvpn | include ^ enable” หากไม่มีผลลัพธ์แสดงว่าบริการไม่ได้เปิดใช้งานและไม่ได้รับผลกระทบ นอกจากนี้ Cisco ยังได้ออกแพตช์แก้ไขช่องโหว่อื่นๆ อีก 42 รายการ รวมถึงช่องโหว่ระดับ Critical 3 รายการบนผลิตภัณฑ์ต่างๆ ได้แก่ CVE-2024-20424 บน FMC ที่อาจถูกใช้รันคำสั่งด้วยสิทธิ์ root, CVE-2024-20329 บน ASA ที่มีปัญหาการตรวจสอบข้อมูล Input ไม่เพียงพอ และ CVE-2024-20412 ที่เกี่ยวกับการใช้ Static Credential บนอุปกรณ์ Firepower Series ผู้ดูแลระบบสามารถดาวน์โหลดแพตช์ทั้งหมดผ่านเครื่องมือ Cisco Software Checker

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-fixes-vpn-dos-flaw-discovered-in-password-spray-attacks/