Cisco har sluppet en advisory om sårbarheter tilstede på deres brannmurplattform (ASA, FMC og FTD)
https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75300 lister 51 sårbarheter over 35 advisories.
3 av dem er rangert som kritiske:
- CVE-2024-20329 – Cisco ASA Remote Command Injection Vulnerability
- CVE-2024-20424 – Cisco FMC Remote Command Injection Vulnerability
- CVE-2024-20412 – Cisco FTD Static Credential Vulnerability
Cisco har gjort tilgjengelig oppdateringer på sine sider. For å se om du er sårbar så kan du sjekke via Cisco Software Checker. Conscia CNS kunder vil også få informasjon fra oss på sårbare versjoner som er registrert i CNS.
Conscia sine sikkerhetseksperter har gått gjennom sårbarhetene og har følgende informasjon.
CVE-2024-20329
Dette er en SSH sårbarhet som muliggjør kjøring av kommandoer som root på ASA. Den krever at følgende er tilstede:
- Brukernavn og passord til en bruke som får lov å kjøre SSH
- Mulighet til å koble til på SSH
- CiscoSSH Stack aktivert
For å sjekke om enheten er sårbar kjør kommandoen «show run | include ssh». Dersom «ssh stack ciscossh» og «ssh <ip adresse> <nettmaske> <interface>» (for eksempel ssh 0.0.0.0 0.0.0.0 management) er tilstede, så er enheten sårbar.
Workaround
Slå av CiscoSSH stack – SSH vil da falle tilbake til Native SSH. Kommandoen for dette er «no ssh stack ciscossh»
Oppdaterte versjoner
9.22.1.1, 9.20.3.7, 9.20.3.4, 9.20.3, 9.20.2.22, 9.20.2.21, 9.20.2.10, 9.20.2, 9.20.1.5, 9.20.1, 9.19.1.37, 9.19.1.31, 9.19.1.28, 9.19.1.27, 9.19.1.24, 9.19.1.22, 9.18.4.8, 9.18.4.5, 9.18.4.47, 9.18.4.40, 9.18.4.34, 9.18.4.29, 9.18.4.24, 9.18.4.22, 9.18.4, 9.17.1.45, 9.17.1.39
CVE-2024-20424
Dette er en HTTP-sårbarhet som muliggjør kjøring av kommandoer som root på FMC eller kommandoer på administrerte FTD’er. Denne er avhengig av en gyldig bruker med minimum Security Analyst (Read Only) rettigheter.
Workaround
Det er ingen workarounds på denne, men Conscia anbefaler å begrense HTTP tilgang til FMC så mye som mulig slik at det kun er få, godkjente nettverk som har mulighet til å nå FMC grensesnittet.
Oppdaterte versjoner
7.6.0, 7.4.2.1, 7.2.9, 7.0.6.3
CVE-2024-20412
Dette er sårbarhet hvor Cisco har konfigurert opp en rekke kontoer med statiske passord som nå er kjent av angripere. Det er mulig for de som kjenner brukernavn og passord til disse kontoene å logge seg på FTD via SSH eller seriell tilkobling.
Det gjelder FTD Software 7.1 – 7.4 og følgende appliances:
- Firepower 1000 Series
- Firepower 2100 Series
- Firepower 3100 Series
- Firepower 4200 Series
Det er mulig å sjekke om kontoene er til stede ved å kjøre kommandoen «scope security» og «show local-user». Dette vil liste opp eventuelle statiske brukere.
Aktuelle brukernavn er
- csm_processes
- report
- sftop10user
- Sourcefire
- SRU
Følgende enheter er IKKE sårbare:
- FDT på følgende platformer:
- ASA 5500-X Series
- Firepower 4100 Series
- Firepower 9300 Series
- Secure Firewall ISA3000
- Secure Firewall Management Center
- Secure Firewall Threat Defense Virtual
Det er mulig å sjekke om denne sårbarheten har blitt utnyttet ved å sjekke for innlogginger fra de berørte kontoene.
Dette gjøres på følgende måte:
- Logg på FTD via SSH eller seriell
- Skriv «expert» for å gå inn i ekspert modus
- Skriv «sudo su root»
- Skriv «zgrep -E «Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)» /ngfw/var/log/messages*»
Dersom det ikke er noe som kommer tilbake så har det ikke vært forsøk i perioden loggene er gyldige. Dersom det skrives noe ut, bør selskapets Incident Response prosess aktiveres for en dypere etterforskning.
Workaround
Det finnes en workaround for dette, men kunder må jobbe sammen med Cisco TAC for å implementere denne. Ta kontakt med vårt serviceapparat i Conscia om dere ønsker dette.
Oppdaterte versjoner: 7.6.0, 7.4.2.1, 7.4.2, 7.2.9, 7.2.8.1, 7.2.8
VDB Update
Installasjon av VDB 388 fra juni 2024 skal også fjerne sårbarhetene ifølge Cisco. Conscia jobber med å verifisere dette.
Ønsker du bistand fra Conscia?