Cisco ha risolto una vulnerabilità già sfruttata nel suo software Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), utilizzata in attacchi di brute-force per tentativi di denial of service (DoS). Il bug, identificato come CVE-2024-20481, è una falla di gravità media causata dall’esaurimento delle risorse e ha ottenuto un punteggio CVSS di 5.8. Cisco specifica che colpisce solo i dispositivi con il servizio VPN per accesso remoto (RAVPN) abilitato.

Cisco ha inoltre dichiarato di essere “a conoscenza dell’uso malevolo della vulnerabilità descritta in questo avviso.” La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha inserito la CVE-2024-20481 nel proprio catalogo delle vulnerabilità conosciute e sfruttate. Cisco ha rilasciato aggiornamenti software per risolvere il problema e sono anche presenti istruzioni per i clienti che devono aggiornare i dispositivi FTD.

Considerando il forte interesse di attori russi, cinesi e criminali comuni nell’attaccare dispositivi vulnerabili, si raccomanda vivamente di seguire i consigli delle autorità e applicare la patch.

cisco fortinet

Il metodo di attacco consiste in attacchi brute-force dove un aggressore inonda i dispositivi vulnerabili con richieste di autenticazione VPN, utilizzando combinazioni di credenziali generiche e valide fino a trovare accesso. Questo permette ai criminali di ottenere accesso non autorizzato alla rete, escludere gli utenti legittimi dai loro account, o, come sembra in questo caso, esaurire le risorse del dispositivo causando condizioni di denial of service per la VPN.

 

Cisco ha avvertito che, in alcuni casi, potrebbe essere necessario riavviare il dispositivo per ripristinare il servizio RAVPN. Talos, la divisione di intelligence sulle minacce di Cisco, ha rilevato un aumento degli attacchi brute-force contro le VPN a partire da marzo. Tali attacchi sembrano provenire da nodi di uscita TOR e da altre reti di anonimizzazione.

 

L’altra vulnerabilità emersa in questi giorni riguarda Fortinet, che ha segnalato una vulnerabilità critica (CVE-2024-47575) in grado di colpire i sistemi FortiManager. Questo problema di “missing authentication” nelle funzioni critiche (CWE-306) risiede nel demone fgfmd di FortiManager e permette a un aggressore remoto non autenticato di eseguire codice o comandi arbitrari tramite richieste mirate.

screenshot-www.fortiguard.com-2024.10.25-10_56_12

Con un punteggio CVSS di 9.8, la vulnerabilità rappresenta una minaccia rilevante per le organizzazioni che utilizzano FortiManager. Secondo il bollettino di Fortinet, questa falla è già sotto sfruttamento attivo da parte di attori malevoli, e il bollettino stesso include specifici indicatori di compromissione (IoC) utili per il monitoraggio.

Fortinet ha rilasciato aggiornamenti di sicurezza per mitigare il rischio e raccomanda vivamente agli utenti di aggiornare FortiManager alle ultime versioni. Oltre agli aggiornamenti, Fortinet consiglia di monitorare attentamente i log di sistema, poiché la vulnerabilità risulta in attivo sfruttamento; un’analisi dei log può aiutare a rilevare tentativi di attacco.