10月23日思科针对旗下防火墙系统Adaptive Security Appliance(ASA)、Firepower Threat Defense(FTD),以及集中控管软体Firewall Management Center(FMC)其中最严重的是CVE-2024-20329与CVE-2024-20424。CVE-2024-20329存在于ASA系统,为SSH远端命令注入漏洞,攻击者可在未经授权的情况下,远端以root的权限执行作业系统层级的命令。
这项漏洞发生的原因,在于未充分验证使用者输入内容,导致攻击者有机会在透过SSH远端执行命令的过程中,借由提出伪造的输入利用漏洞。一旦成功触发,攻击者就能以root等级的权限在作业系统底层执行命令,CVSS风险值为9.9。
另一个同样被评为9.9分的漏洞是CVE-2024-20424,这项漏洞发生在管理平台FMC,属于命令注入类型的弱点,同样也能让未通过身分验证的攻击者,远端在作业系统底层以root执行任意命令。
造成这项漏洞的原因在于,FMC的特定HTTP请求的输入验证不够充分,攻击者可借由发送伪造的HTTP请求,在网页管理介面进行身分验证来触发漏洞。一旦漏洞触发,攻击者就能掌握root权限,对FMC或纳入此系统进行管理的FTD防火墙执行命令。不过,利用这项漏洞必须搭配特定条件,那就是攻击者必须先取得被授与资安分析师角色的有效使用者帐密。
第3个被列为重大层级的漏洞是CVE-2024-20412,这项漏洞影响执行FTD系统的Firepower 1000、2100、3100、4200系列防火墙,未经身分验证的攻击者可利用静态的帐密资料,存取受到影响的系统。
此漏洞涉及多个固定帐号密码被写死(hard-coded passwords)在系统的状况,攻击者可利用该漏洞于命令列介面(CLI)登入系统,成功利用漏洞有机会截取敏感资讯、执行有限的除错作业、窜改部分组态,或是导致设备无法正常开机启动作业系统,CVSS风险评为9.3分。
除了上述的重大层级漏洞,另一个中度风险的漏洞的过程发现,影响启用Remote Access VPN(RAVPN)服务的ASA、FTD防火墙系统,未经身分验证的攻击者可远端发动阻断服务(DoS)攻击,CVSS风险评为5.8。
值得留意的是,思科坦承,想要缓解CVE-2024-20481漏洞,目前只能套用软体更新,用户应尽速处理。