News

Neue Sicherheitslücke: Cisco ASA & FTD CVE-2024-20353/59

|Cloud

Cisco gab am 24.04.2024 um 18:00 Uhr zwei neue 0-Day-Schwachstellen für Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) bekannt.

CVE-2024-20353

Diese Schwachstelle ist auf eine unvollständige Fehlerprüfung beim Parsen eines HTTP-Headers zurückzuführen. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine manipulierte HTTP-Anfrage an einen betroffenen Webserver sendet. Bei erfolgreicher Ausnutzung könnte der Angreifer einen DoS auslösen, indem das Gerät dadurch neu geladen wird.

CVE-2024-20359

Diese Sicherheitslücke ist auf eine unsachgemäße Validierung einer Datei beim Lesen aus dem System-Flash-Speicher zurückzuführen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er eine manipulierte Datei in das disk0:-Dateisystem eines betroffenen Geräts kopiert. Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, nach dem nächsten Neuladen des Geräts beliebigen Code auf dem betroffenen Gerät auszuführen, was das Systemverhalten verändern könnte. Der eingeschleuste Code kann auch nach Neustarts des Geräts bestehen bleiben.

Cisco hat bestätigt, dass diese Sicherheitslücken ausgenutzt worden sind.

SHD empfiehlt dringend, auf eine aktuelle Versionen zu aktualisieren (siehe "Betroffene Versionen"). Weiterhin empfehlen wir dringend, die Systemprotokolle auf Anzeichen für nicht dokumentierte Konfigurationsänderungen, ungeplante Neustarts und anomale Aktivitäten mit Anmeldeinformationen zu prüfen (siehe "IOCs").


Klassifizierung

CVE-2024-20353

CVSS 3.0: 8.6
Attack Vector: remote unauthenticated
Impact: DoS

CVE-2024-20359

CVSS 3.0: 6.0
Attack Vector: local
Impact: Device Compromise


Betroffene Versionen

CISCO ASA-Geräte, der Serie ASA55xx und Firmware ASA-Versionen 9.12 und 9.14 wurden in Angriffen auf Kundenumgebungen bereits kompromittiert.

CVE-2024-20359

Diese Sicherheitslücke betrifft Cisco-Produkte, wenn auf ihnen eine anfällige Version der Cisco ASA-Software oder FTD-Software ausgeführt wird. Es ist keine spezielle Konfiguration erforderlich.

CVE-2024-20353

Diese Sicherheitslücke betrifft Cisco ASA-Software und FTD-Software, wenn sie über eine oder mehrere der in den folgenden beiden Tabellen aufgeführten anfälligen Konfigurationen verfügen (siehe "ASA-Software anfällige Konfiguration" und "FTD Software anfällige Konfiguration").

 

ASA-Betroffenheitsanalyse

Kommando:

 show asp table socket | include SSL

nach einem SSL-Listen-Socket an einem any TCP-Port suchen. Wenn mindestens ein Socket in der Ausgabe vorhanden ist, sollte das Gerät als verwundbar angesehen werden.

Beispiel für saubere Konfiguration auf Port 443 und 8443:

 

ciscoasa# show asp table socket | include SSL

SSL 00185038 LISTEN 172.16.0.250:443 0.0.0.0:*

SSL 00188638 LISTEN 10.0.0.250:8443 0.0.0.0:*

 

ASA-Software anfällige Konfiguration

In der folgenden Tabelle sind in der linken Spalte die Funktionen der Cisco ASA Software aufgeführt, die potenziell anfällig sind. Die rechte Spalte zeigt die Basiskonfiguration für die Funktion aus dem Kommando:

 show running-config

an, sofern diese ermittelt werden kann. Diese Funktionen könnten dazu führen, dass die SSL-Listen-Sockets aktiviert werden.

Cisco ASA-Software FeaturePossible Vulnerable Configuration
AnyConnect IKEv2 Remote Access (with client services)crypto ikev2 enable [...] client-services port
Local Certificate Authority (CA)1crypto ca server
no shutdown
Management Web Server Access (including ASDM and CSM)2http server enable
http
Mobile User Security (MUS)webvpn
mus password
mus server enable port
mus
REST API3rest-api image disk0:/rest-api agent
SSL VPNwebvpn
enable

In Cisco ASA Software Release 9.13 and later, Local CA is deprecated and has been removed.
Management Web Server Access would only be vulnerable from an IP address in the configured http command range. 
3 REST API is vulnerable only from an IP address in the configured http command range.

 

FTD-Software anfällige Konfiguration

Mit dem gleichen show running-config Kommando kann geprüft werden, ob die FTD potentiell anfällig ist:

Cisco FTD-Software FeaturePossible Vulnerable Configuration
AnyConnect IKEv2 Remote Access (with client services)1,2crypto ikev2 enable [...] client-services port
AnyConnect SSL VPN1,2webvpn
enable
HTTP server enabled3http server enable
http

 Remote access VPN features are enabled from Devices > VPN > Remote Access in Cisco Firepower Management Center (FMC) Software or from Device > Remote Access VPN in Cisco Firepower Device Manager (FDM).
2 Remote access VPN features are first supported as of Cisco FTD Software Release 6.2.2.
3 The HTTP feature is enabled from Firepower Threat Defense Platform Settings > HTTP in the Cisco FMC Console.


Workarounds

Derzeit sind keine Workarounds bekannt.


Maßnahmen

Cisco empfiehlt dringend, diese 0-Day-Schwachstelle zu patchen.

Sollte es keinen Wartungs-/Service-Vertrag geben, gibt es über folgenden Weg dennoch die Möglichkeit, den Patch zu erhalten: Cisco Worldwide Support Contacts - Cisco

Die aktuell verfügbaren Versionen sind:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Die Systeme sollten unbedingt auf die untenstehenden Artefakte und IOCs geprüft werden.

Weiterhin sollte das Log auf folgende alert codes geprüft werden, welche auf mögliche schadhafte Aktionen hinweisen, sofern nicht intern als erwartete Aktivität bestätigt.

ASA-CodeDescriptions
ASA-4-106103access-list acl_ID denied protocol for user username
ASA-4-109027[aaa protocol] Unable to decipher response message
ASA-4-113019Session disconnected.
ASA-4-315009SSH: connection timed out
ASA-4-717037Tunnel group search using certificate maps failed for peer certificate
ASA-4-722041No IPv6 address available for SVC connection
ASA-4-768003SSH: connection timed out
ASA-5-111001 Begin configuration: IP_address writing to device
ASA-5-111003IP_address Erase configuration
ASA-5-111008User user executed the command string
ASA-5-212009Configuration request for SNMP group groupname failed.
ASA-5-718072Becoming master of Load Balancing in context
ASA-5-734002Connection terminated by the following DAP records
ASA-5-8300006Cluster topology change detected. VPN session redistribution aborted
ASA-6-113015 AAA user authentication Rejected
ASA-7-734003DAP: User name, Addr ipaddr: Session Attribute: attr name/value

IOCs

Aktuelle IPs

  • 185.244.210[.]65
  • 5.183.95[.]95
  • 213.156.138[.]77
  • 45.77.54[.]14
  • 45.77.52[.]253
  • 45.63.119[.]131
  • 194.32.78[.]183
  • 185.244.210[.]120
  • 216.238.81[.]149
  • 216.238.85[.]220
  • 216.238.74[.]95
  • 45.128.134[.]189
  • 176.31.18[.]153
  • 216.238.72[.]201
  • 216.238.71[.]49
  • 216.238.66[.]251
  • 216.238.86[.]24
  • 216.238.75[.]155
  • 154.39.142[.]47
  • 139.162.135[.]12

Artefakte

Im Folgenden sind zwei Beispiele für beobachtete Aktivitäten aufgeführt, die die Kommunikation zwischen den böswilligen Akteuren und den Zielgeräten beschreiben. Die verantwortlichen Behörden haben diese Befehle als zwei Malware-Komponenten identifiziert, die mit den schadhaften Aktivitäten gegen Cisco ASA-Geräte in Verbindung stehen:

LINE RUNNER - eine persistente Webshell, die es böswilligen Akteuren ermöglicht, beliebige Lua-Skripte hochzuladen und auszuführen. Zum Beispiel:

 

GET /+CSCOE+/portal.css?<aaa>=<token>&<bbb>=<lua_script>

Where:

<aaa> is a randomized query parameter key name.

<token> is a randomized value, checked by the webshell (i.e., auth)

<bbb> is a randomized query parameter key name.

<lua_script> is the URL Encoded Lua commands to execute.

The use of randomized query parameters prevents mass scanning of potentially impacted ASAs. It is assumed the values in the GET requests are victim specific, but this is yet to be confirmed.

 

LINE DANCER - ein speicherinternes Implantat, das es böswilligen Akteuren ermöglicht, beliebige Shellcode-Nutzdaten hochzuladen und auszuführen. Zum Beispiel:

 

POST /CSCOSSLC/config-auth HTTP/1.1

<host-scan-reply>[base64-encoded payloads]</host-scan-reply>

 

Weiterhin wurden folgende Aktivitäten auf betroffenen Systemen entdeckt:

  • Die böswilligen Akteure generierten Textversionen der Konfigurationsdatei des Geräts, so dass diese über Webanfragen exfiltriert werden konnte.
  • Die böswilligen Akteure waren in der Lage, die Aktivierung und Deaktivierung des Syslog-Dienstes des Geräts zu steuern, um zusätzliche Befehle zu verschleiern.
  • Die böswilligen Akteure waren in der Lage, die AAA-Konfiguration (Authentifizierung, Autorisierung und Abrechnung) so zu ändern, dass bestimmte von den Akteuren kontrollierte Geräte, die einer bestimmten Kennung entsprechen, Zugang zur betroffenen Umgebung erhalten konnten.

 


Quellen