Sårbarheder på Cisco ASA og FTD

Cisco har udsendt en sikkerhedsmeddelelse vedrørende sårbarheder i deres firewall-løsninger, ASA, FMC og FTD.

For at få indsigt i de 51 identificerede sårbarheder, som er beskrevet i 35 sikkerhedsmeddelelser, kan du følge dette link: https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75300.
Blandt disse sårbarheder er tre vurderet som kritiske:

  • CVE-2024-20329 – Cisco ASA Remote Command Injection Vulnerability
  • CVE-2024-20424 – Cisco FMC Remote Command Injection Vulnerability
  • CVE-2024-20412 – Cisco FTD Static Credential Vulnerability

Cisco har gjort opdateringer tilgængelige på deres hjemmeside, så du kan bruge Cisco Software Checker til at finde ud af, om dit system er sårbart. Samtidig vil Conscia CNS-kunder modtage information fra os om eventuelle sårbare versioner, der er registreret i CNS.

Conscia’s sikkerhedseksperter har også gennemgået sårbarhederne og har følgende oplysninger:

CVE-2024-20329

Dette er en SSH-sårbarhed, der giver mulighed for at udføre kommandoer som root på ASA . For at denne sårbarhed kan udnyttes, skal følgende være opfyldt:

  • Brugernavn og adgangskode til en bruger, der har lov til at køre SSH
  • Mulighed for at oprette forbindelse via SSH
  • CiscoSSH Stack skal være aktiveret

For at tjekke, om enheden er sårbar, kan du køre kommandoen «show run | include ssh». Hvis du ser «ssh stack ciscossh» og «ssh <ip adresse> <netmaske> <interface>» (for eksempel ssh 0.0.0.0 0.0.0.0 management), så er enheden sårbar.

Løsninger

Deaktiver CiscoSSH-stack – så SSH automatisk vil skifte tilbage Native SSH. Kommandoen for dette er «no ssh stack ciscossh».

Opdaterede versioner

9.22.1.1, 9.20.3.7, 9.20.3.4, 9.20.3, 9.20.2.22, 9.20.2.21, 9.20.2.10, 9.20.2, 9.20.1.5, 9.20.1, 9.19.1.37, 9.19.1.31, 9.19.1.28, 9.19.1.27, 9.19.1.24, 9.19.1.22, 9.18.4.8, 9.18.4.5, 9.18.4.47, 9.18.4.40, 9.18.4.34, 9.18.4.29, 9.18.4.24, 9.18.4.22, 9.18.4, 9.17.1.45, 9.17.1.39.

CVE-2024-20424

Dette er en HTTP-sårbarhed, der giver mulighed for at udføre kommandoer som root på FMC eller udføre kommandoer på administrerede FTD-enheder. For at denne sårbarhed kan udnyttes, kræver det, at der er en gyldig bruger med minimum Security Analyst (læsning) rettigheder.

Løsninger

Der er ingen løsninger på denne sårbarhed, men Conscia anbefaler dog at begrænse HTTP-adgangen til FMC, så kun et begrænset antal godkendte netværk kan få adgang til FMC-grænsefladen.

Opdaterede versioner

7.6.0, 7.4.2.1, 7.2.9, 7.0.6.3.

CVE-2024-20412

Denne sårbarhed opstår, fordi Cisco har oprettet en række konti med statiske adgangskoder, som nu er kendt af angribere. Hvis nogen kender brugernavn og adgangskode til disse konti, kan de logge ind på FTD via SSH eller en serielforbindelse.

Det gælder FTD-software 7.1 – 7.4 og følgende enheder:

  • Firepower 1000 Series
  • Firepower 2100 Series
  • Firepower 3100 Series
  • Firepower 4200 Series

For at kontrollere om disse konti findes, kan du køre kommandoerne «scope security» og «show local-user». Dette vil vise op eventuelle statiske brugere.
Aktuelle brugernavne er:

  • csm_processes
  • report
  • sftop10user
  • Sourcefire
  • SRU

Følgende enheder er IKKE sårbare:

FTD på følgende platforme:

  • ASA 5500-X Series
  • Firepower 4100 Series
  • Firepower 9300 Series
  • Secure Firewall ISA3000
  • Secure Firewall Management Center
  • Secure Firewall Threat Defense Virtual

For at tjekke om denne sårbarhed er blevet udnyttet, kan du undersøge loginaktiviteten fra de berørte konti. Følg disse trin:

  1.  Log ind på FTD via SSH eller seriel.
  2. Skriv «expert» for at gå ind i ekspertmode.
  3. Skriv «sudo su root».
  4. Skriv «zgrep -E «Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)» /ngfw/var/log/messages*».

Hvis der ikke vises nogen resultater, betyder det, at der ikke har været nogen loginforsøg inden for den periode, hvor loggen er gyldig. Hvis der derimod vises resultater, bør virksomheden aktivere sin Incident Response-proces for at undersøge sagen nærmere.

Løsninger

Der findes en løsning på dette, men kunderne skal samarbejde med Cisco TAC for at få den implementeret. Hvis I ønsker at gøre dette, så kontakt venligst vores serviceafdeling i Conscia.

Opdaterede versioner

7.6.0, 7.4.2.1, 7.4.2, 7.2.9, 7.2.8.1, 7.2.8.

VDB-opdatering

Ifølge Cisco skal installationen af VDB 388 fra juni 2024 også fjerne de nævnte sårbarheder. Conscia er i gang med at verificere denne information.