CVE-2024-20359

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

ВЕРОЯТНОСТЬ 0.2%
Дата обнаружения

2024-04-24

Официальное описание

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) contain a privilege escalation vulnerability that can allow local privilege escalation from Administrator to root.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-20359 представляет собой критическую уязвимость в программном обеспечении Cisco ASA и Cisco FTD, связанную с механизмом повышения привилегий. Проблема вызвана некорректной проверкой путей при чтении специфических файлов из системного хранилища.

Локальный злоумышленник, обладающий правами администратора (уровень Privilege 15), может загрузить специально подготовленный файл во внутреннюю файловую систему устройства. При последующей перезагрузке системы этот файл позволяет выполнить произвольный код с правами root. Это дает полный контроль над базовой операционной системой, позволяя обходить механизмы безопасности и устанавливать персистентные бэкдоры (например, вредоносное ПО Line Runner или Line Dancer).

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения до фиксированных версий, выпущенных Cisco.

  1. Определите текущую версию ПО:
show version | include Software
  1. Перейдите на одну из исправленных версий (или более поздние):
  2. Для Cisco ASA: 9.16.4.57, 9.18.4.22, 9.20.2.2.

  3. Для Cisco FTD: 7.0.6.3, 7.2.9, 7.4.2.1.

  4. Загрузите соответствующий образ с Cisco Software Central и выполните обновление. Пример команды для ASA:

copy tftp: flash:
boot system disk0:/<имя_нового_образа>
write memory
reload
  1. После обновления убедитесь, что уязвимость устранена, проверив версию:
show version

Временные меры

Для данной уязвимости не существует программных обходных путей (workarounds), которые могли бы полностью предотвратить эксплуатацию без обновления системы. Однако, как Senior Security Engineer, я рекомендую следующие меры по снижению рисков:

  • Ограничьте доступ к интерфейсам управления (CLI, ASDM, FMC) только для доверенных хостов и сетей.
  • Проведите аудит всех учетных записей с правами администратора и удалите неиспользуемые.
  • Настройте внешнее логирование (Syslog) на удаленный сервер (SIEM) для отслеживания команд записи в файловую систему и перезагрузок.
  • Проверьте целостность системы на наличие признаков компрометации (наличие подозрительных файлов в disk0: или flash:).
  • Используйте многофакторную аутентификацию (MFA) для доступа администраторов к сетевому оборудованию.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей