Cisco Event Response: Oktober 2024

Cisco ASA, FMC och FTD Software Security Advisor Bundled

Cisco Event Response: Oktober 2024

Cisco ASA, FMC and FTD Software Security Advisor Bundled

Cisco släppte sin halvårsvisa Cisco ASA, FMC and FTD Software Security Advisory Bundled den 23 oktober 2024. Uppdateringen innehåller 35 Cisco Security Advisories som beskriver 51 sårbarheter i Cisco ASA, FMC och FTD, varav 3 kategoriseras som kritiska.

Vi rekommenderar att alla läser igenom och följer Ciscos rekommendationer kring uppdatering av mjukvara och firmware.

3 kritiska uppdateringar

  • CVE-2024-20329 – Cisco ASA Remote Command Injection Vulnerability
  • CVE-2024-20424 – Cisco FMC Remote Command Injection Vulnerability
  • CVE-2024-20412 – Cisco FTD Static Credential Vulnerability

Cisco har gjort uppdateringar tillgängliga på sina sidor. För att se om du är sårbar kan du kontrollera via Cisco Software Checker. Conscia CNS-kunder kommer också att få information från oss om sårbara versioner som är registrerade i CNS.

Conscias säkerhetsexperter har granskat sårbarheterna och har följande information om respektive kritisk uppdatering.

 

1. Sårbarhet CVE-2024-20329

Detta är en SSH-sårbarhet som gör det möjligt att köra kommandon som root på ASA.

Det kräver att följande är närvarande:

  • Användarnamn och lösenord för en användare som har tillåtelse att köra SSH
  • Möjlighet att ansluta på SSH
  • CiscoSSH Stack aktiverad

För att kontrollera om enheten är sårbar, kör kommandot ”show run | inkludera ssh”. Om ”ssh stack ciscossh” och ”ssh <ip address> <netmaske> <interface>” (t.ex. ssh 0.0.0.0 0.0.0.0 management) finns är enheten sårbar.

Lösning

Stäng av CiscoSSH-stacken – SSH kommer sedan att återgå till inbyggd SSH. Kommandot för detta är ”no ssh stack ciscossh”

Uppdaterade versioner

9.22.1.1 9.20.3.7 9.20.3.4 9.20.3 9.20.2.22 9.20.2.21
9.20.2.10 9.20.2 9.20.1.5 9.20.1 9.19.1.37 9.19.1.31
9.19.1.28 9.19.1.27 9.19.1.24 9.19.1.22 9.18.4.8 9.18.4.5
9.18.4.47 9.18.4.40 9.18.4.34 9.18.4.29 9.18.4.24 9.18.4.22
9.18.4 9.17.1.45 9.17.1.39

 

2. Sårbarhet CVE-2024-20424

Detta är en HTTP-sårbarhet som gör det möjligt att köra kommandon som root på FMC eller kommandon på hanterade FTD:er. Detta är beroende av en giltig användare med minsta behörighet som säkerhetsanalytiker (skrivskyddad).

Lösning

Det finns inga lösningar på detta, men Conscia rekommenderar att du begränsar HTTP-åtkomsten till FMC så mycket som möjligt så att endast ett fåtal, godkända nätverk har möjlighet att nå FMC-gränssnittet.

Uppdaterade versioner

7.6.0 7.4.2.1 7.2.9 7.0.6.3

 

3. Sårbarhet CVE-2024-20412

Detta är en sårbarhet där Cisco har konfigurerat ett antal konton med statiska lösenord som nu är kända för angripare. Det är möjligt för dem som känner till användarnamn och lösenord för dessa konton att logga in på FTD via SSH eller seriell anslutning.

Detta gäller FTD Software 7.1 – 7.4 och följande apparater:

  • Firepower 1000 Series
  • Firepower 2100 Series
  • Firepower 3100 Series
  • Firepower 4200 Series

Det är möjligt att kontrollera om kontona finns genom att köra kommandot ”scope security” och ”show local-user”.

Detta kommer att lista alla statiska användare.

Relevanta användarnamn är:

  • csm_processes
  • report
  • sftop10user
  • Sourcefire
  • SRU

Följande enheter är INTE sårbara:

  • FTD på följande plattformar
    • ASA 5500-X Series
    • Firepower 4100 Series
    • Firepower 9300 Series
    • Secure Firewall ISA3000
  • Secure Firewall Management Center
  • Secure Firewall Threat Defense Virtual

Det är möjligt att kontrollera om denna sårbarhet har utnyttjats genom att kontrollera om det finns inloggningar från de drabbade kontona. Detta görs på följande sätt:

  • Logga in på FTD via SSH eller seriell
  • Skriv ”expert” för att gå in i expertläge
  • Skriv ”sudo su root”
  • Skriv ”zgrep -E ”Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)” /ngfw/var/log/messages*”

Om det inte finns något som kommer tillbaka har det inte gjorts några försök under den period som loggarna är giltiga. Om något skrivs ut bör företagets incidenthanteringsprocess aktiveras för en djupare undersökning.

Lösning

Det finns en lösning för detta, men kunderna kommer att behöva arbeta tillsammans med Cisco TAC för att implementera detta. Kontakta vår serviceenhet i Conscia om du vill göra det.

Uppdaterade versioner

7.6.0 7.4.2.1 7.4.2 7.2.9 7.2.8.1 7.2.8

 

VDB-uppdatering

Installation av VDB 388 från juni 2024 bör också ta bort sårbarheterna, enligt Cisco. Conscia arbetar med att verifiera detta.

 

Läs mer om Cisco ASA, FMC and FTD Software Security Advisory Bundled den 23 oktober 2024.

 

Kontakta oss om du behöver hjälp eller har några funderingar.

Hur kan vi hjälpa dig?

 

Kontakta oss!
Svar inom 24h