Cisco ha revelado una vulnerabilidad explotada activamente (CVE-2024-20481) en
su software Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD)
que podría permitir a los atacantes lanzar ataques de denegación de servicio
(DoS) contra VPN de acceso remoto (RAVPN).
Esta vulnerabilidad tiene una puntuación CVSS de 5,8 y afecta a dispositivos
que ejecutan versiones vulnerables de software ASA o FTD con RAVPN habilitado.
La vulnerabilidad surge de un problema de agotamiento de recursos. Como se
indica en el
aviso:
«Un atacante podría aprovechar esta vulnerabilidad enviando una gran
cantidad de solicitudes de autenticación de VPN a un dispositivo afectado.
Un exploit exitoso podría permitir al atacante agotar los recursos, lo que
resultaría en un DoS del servicio RAVPN en el dispositivo afectado».
Esto significa que los atacantes podrían potencialmente inundar el servicio
VPN con solicitudes de autenticación, agotando los recursos del sistema e
interrumpiendo el acceso legítimo de los usuarios. En algunos casos, puede ser
necesario reiniciar el dispositivo para restaurar la funcionalidad RAVPN. Es
importante destacar que Cisco señala que
los servicios no relacionados con VPN no se ven afectados.
Para comprobar si su dispositivo es vulnerable, Cisco recomienda ejecutar el
siguiente comando en la CLI del dispositivo:
show running-config webvpn | include ^ enable
Cualquier resultado de este comando indica que SSL VPN está habilitado y que
el dispositivo puede ser vulnerable.
El aviso proporciona orientación sobre cómo identificar posibles ataques de
password spray, un método común para explotar esta vulnerabilidad. Los
indicadores incluyen mensajes de registro específicos que aparecen con
frecuencia y en grandes cantidades, como rechazos de autenticación e intentos
fallidos de inicio de sesión. Monitorear el volumen de solicitudes y rechazos
de autenticación mediante el comando show aaa-server
también puede ayudar a detectar ataques en curso.
Cisco también recomienda que los clientes revisen la sección de detección de
amenazas de la guía
Configure Threat Detection for VPN Services. Esta sección permite habilitar protecciones contra varios ataques
relacionados con VPN.
Cisco tiene conocimiento del uso malicioso de esta vulnerabilidad y las organizaciones que dependen del software Cisco ASA o FTD para los
servicios RAVPN deben priorizar la actualización de sus sistemas para mitigar
el riesgo de ataques DoS y garantizar la continuidad de las operaciones
comerciales.
Cisco ya ha publicado
actualizaciones
de software que solucionan el problema e insta encarecidamente a los usuarios
a actualizar a una versión reparada lo antes posible.
Fuente:
SecurityOnline