Useita vakavia haavoittuvuuksia Cisco ASA ja FTD-tuotteissa

Cisco Adaptive Security Appliance (ASA) sekä Firepower Threat Defense (FTD) ovat Suomessakin suosittuja palomuurituotteita, jotka mahdollistavat organisaatioille esimerkiksi sisäverkon ja verkon reunan suojaamisen sekä turvallisten etäyhteyksien toteuttamisen.

Seuraavat haavoittuvuudet koskevat organisaatioita, joilla kyseinen tuote on käytössä haavoittuvalla versiolla tai konfiguraatiolla:

CVE-2024-20353

Cisco ASA ja FTD -tuotteet, joissa on käytössä haavoittuva ohjelmistoversio:

Cisco ASA versiot ennen 9.12.4.67
Cisco ASA versiot ennen 9.16.4.57
Cisco ASA versiot ennen 9.18.4.22
Cisco ASA versiot ennen 9.19.1.28
Cisco ASA versiot ennen 9.20.2.10

Cisco FTD versiot ennen 7.4.1.1
Cisco FTD versiot ennen 7.2.6
Cisco FTD versiot ennen 7.0.6.2

sekä yksi tai useampi haavoittuva konfiguraatio valmistajan haavoittuvuustiedotteessa kuvatun mukaisesti:

Cisco Adaptive Security Appliance and Firepower Threat Defense Software Web Services Denial of Service Vulnerability (Ulkoinen linkki)

CVE-2024-20359 ja CVE-2024-20358

Cisco ASA ja FTD -tuotteet, joissa on käytössä haavoittuva ohjelmistoversio:

Cisco ASA versiot ennen 9.12.4.67
Cisco ASA versiot ennen 9.16.4.57
Cisco ASA versiot ennen 9.18.4.22
Cisco ASA versiot ennen 9.19.1.28
Cisco ASA versiot ennen 9.20.2.10

Cisco FTD versiot ennen 7.4.1.1
Cisco FTD versiot ennen 7.2.6
Cisco FTD versiot ennen 7.0.6.2

valmistajan haavoittuvuustiedotteessa kuvatun mukaisesti:

Cisco Adaptive Security Appliance and Firepower Threat Defense Software Persistent Local Code Execution Vulnerability (Ulkoinen linkki)

Cisco Adaptive Security Appliance and Firepower Threat Defense Software Command Injection Vulnerability (Ulkoinen linkki)

Vuoden 2024 alkupuolelta alkaen Ciscon PSIRT havaitsi Cisco Adaptive Security Appliance (ASA) ja Cisco Firepower Threat Defense (FTD) -laitteisiin kohdistuvia hyökkäyksiä, joissa hyökkääjä oli pyrkinyt asentamaan haavoittuviin laitteisiin haittaohjelmia sekä varastamaan niistä tietoja. Tutkijat ovat antaneet hyökkäyskampanjalle nimen ArcaneDoor.

Cisco ei ole vielä onnistunut tunnistamaan hyökkäyksiin liittyvää ensimmäisen sisääntulovaiheen hyökkäysvektoria, mutta hyökkäysketjuun liittyviin muihin haavoittuvuuksiin (CVE-2024-20353 ja CVE-2024-20359) on nyt julkaistu korjaavat ohjelmistopäivitykset. Ohjelmistopäivitykset korjaavat ohjelmiston heikkouksia, jotka voivat antaa hyökkääjälle mahdollisuuden asentaa haittaohjelmia sekä saada jalansija kyseiseen laitteeseen. 

Haavoittuvuuksille ei ole vielä julkista hyväksikäyttömenetelmää tai haavoittuvuuden havainnollistavaa esimerkkikoodia (PoC). 

Organisaatioita suositellaan asentamaan korjaavat päivitykset välittömästi sekä noudattamaan valmistajan julkaisemia ohjeita. 

Päivitysten yhteydessä on tarpeen tutkia, onko viitteitä tietomurrosta. Cisco Talos on julkaissut blogissaan indikaattoreita tietomurron havaitsemiseksi:
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices (Ulkoinen linkki)

CCCS ja NCSC-UK ovat julkaisseet yhdessä tiedotteen hyökkäyksiin liittyen jossa on myös ohjeita tietomurtotutkintaa ja toimenpiteitä varten:
Cyber Activity Impacting CISCO ASA VPNs (Ulkoinen linkki)

Valmistajan julkaisemia ohjeita Cisco palomuuriohjelmistojen tietomurtotutkintaan:
Cisco Event Response: Attacks Against Cisco Firewall Platforms (Ulkoinen linkki)
Cisco ASA Forensic Investigation Procedures for First Responders (Ulkoinen linkki)

Kyberturvallisuuskeskukselle voi matalla kynnyksellä ilmoittaa haavoittuvuuksien hyväksikäyttöön liittyvistä havainnoista. Havainnot voi ilmoittaa kotisivujemme lomakkeella (Ulkoinen linkki)tai cert@traficom.fi -sähköpostiosoitteen kautta.