DFN-CERT-2024-1095 Cisco Adaptive Security Appliance (ASA), Cisco Firepower Threat Defense (FTD) Software: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

DFN-CERT-2024-1095 Cisco Adaptive Security Appliance (ASA), Cisco Firepower Threat Defense (FTD) Software: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (25.04.24):
Neues Advisory

Ein unprivilegierter Angreifer kann eine Schwachstelle aus der Ferne
ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem
kann ein Angreifer mit erweiterten Rechten zwei weitere Schwachstellen lokal
ausnutzen, um beliebigen Programmcode mit ‘root’-Rechten auszuführen.

Die erfolgreiche Ausnutzung der Schwachstelle CVE-2024-20353 kann Einfluss
auf andere Komponenten haben.

Sicherheitsupdates für die Cisco Adaptive Security Appliance (ASA) Software
und die Cisco Firepower Threat Defense (FTD) Software können allgemein mit
Hilfe des ‘Cisco Software Checker’ (siehe Referenzen) identifiziert werden.

Cisco bestätigt, dass die Schwachstellen CVE-2024-20353 und CVE-2024-20359
bereits ausgenutzt worden sind und empfiehlt dringend ein Upgrade auf die
fehlerbereinigten Software-Versionen, um die Schwachstellen zu beheben.
Weiterhin sollten Kunden die Log-Dateien der Systeme überwachen und auf
Indikatoren für nicht dokumentierte Konfigurationsänderungen, ungeplante
Neustarts und etwaige anormale Aktivitäten im Zusammenhang mit Anmeldedaten
achten.

In der ‘Cisco Event Response: Attacks Against Cisco Firewall Platforms’
stellt das Cisco Product Security Incident Response Team (PSIRT) weitere
Informationen zu den seit Anfang 2024 beobachteten Angriffen gegen bestimmte
Geräte mit Cisco Adaptive Security Appliance (ASA) Software oder Cisco
Firepower Threat Defense (FTD) Software bereit, bei denen Schadsoftware
implantiert, Befehle ausgeführt und möglicherweise Daten ausgeleitet wurden.
Insbesondere wird auch eine Befehlsfolge zum Testen der Integrität von
Systemen angegeben.

Bezüglich der ‘ArcaneDoor’ genannten Angriffskampagne wird weiterhin auf den
Cisco Talos Blog-Artikel ‘ArcaneDoor – New espionage-focused campaign found
targeting perimeter network devices’ verwiesen, wonach zwar der initiale
Angriffsvektor nicht bekannt ist, aber ein Akteur identifiziert werden
konnte (UAT4356 bezeichnet von Talos, STORM-1849 bezeichnet von Microsoft
Threat Intelligence Center). Bei der Angriffskampagne ‘ArcaneDoor’ wurden
durch UAT4356 zwei Hintertüren installiert, die unter ‘Line Runner’ und
‘Line Dancer’ bekannt sind und offenbar der Spionage dienen.

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstellen CVE-2024-20353 und CVE-2024-20359 ebenfalls in ihren ‘Known
Exploited Vulnerabilities Catalog’ aufgenommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-1095]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben