CVE-2024-20353

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-04-24

Официальное описание

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) contain an infinite loop vulnerability that can lead to remote denial of service condition.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-20353 представляет собой критическую уязвимость в программном обеспечении Cisco ASA и Cisco FTD, связанную с некорректной обработкой HTTPS-запросов. Проблема заключается в возможности возникновения бесконечного цикла (infinite loop) при обработке специфически сформированного трафика.

Злоумышленник может вызвать состояние отказа в обслуживании (DoS), отправив серию вредоносных HTTPS-запросов на интерфейс устройства. Это приводит к полной перезагрузке системы или зависанию процессов, что парализует прохождение сетевого трафика и работу VPN-сервисов. Уязвимость может быть эксплуатирована удаленно и не требует аутентификации.

Как исправить

Единственным надежным способом устранения уязвимости является обновление микропрограммы (firmware) до фиксированной версии, выпущенной Cisco.

  1. Определите текущую версию ПО:
show version | include Software
  1. Сверьте вашу версию с таблицей исправлений:
  2. Для ASA: обновитесь до веток 9.16.4.57, 9.18.4.22, 9.20.2.2 или новее.

  3. Для FTD: обновитесь до веток 7.0.6.3, 7.2.7.1, 7.4.1.1 или новее.

  4. Загрузите соответствующий образ (bin или pkg) с Cisco Software Central.

  5. Выполните обновление (пример для ASA через CLI):

copy tftp://<server_ip>/asa9184-22-smp-k8.bin flash:/


boot system disk0:/asa9184-22-smp-k8.bin


write memory


reload

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки, так как специфических сигнатур для блокировки этого типа DoS на уровне L7 без обновления кода не существует.

  1. Ограничьте доступ к интерфейсам управления (Management) и HTTPS-сервисам только доверенными IP-адресами с помощью списков контроля доступа (ACL):
http 192.168.1.0 255.255.255.0 inside


http <trusted_admin_ip> 255.255.255.255 outside
  1. Если функции Clientless SSL VPN или AnyConnect не используются на конкретном интерфейсе, убедитесь, что HTTP-сервер на нем отключен:
no http server enable
  1. Настройте мониторинг доступности устройства и загрузки CPU, чтобы оперативно среагировать на начало атаки:
show cpu usage
  1. Используйте внешние средства защиты (WAF или IPS) перед устройством ASA/FTD для фильтрации аномальных HTTPS-заголовков, однако это не гарантирует 100% защиты от данной специфической уязвимости парсера.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей