CVE-2024-20481

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-24

Официальное описание

Cisco Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) contain a missing release of resource after effective lifetime vulnerability that could allow an unauthenticated, remote attacker to cause a denial-of-service (DoS) of the RAVPN service.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-20481 представляет собой критическую уязвимость типа Denial of Service (DoS) в реализации сервиса Remote Access VPN (RAVPN) для устройств Cisco ASA и FTD. Проблема вызвана некорректным управлением ресурсами: после истечения времени жизни сессии (effective lifetime) выделенные ресурсы не освобождаются должным образом.

Злоумышленник может отправить специально сформированный поток трафика на устройство, что приведет к исчерпанию лимита доступных ресурсов. В результате легитимные пользователи не смогут устанавливать новые VPN-соединения, а существующие сессии могут быть прерваны. Уязвимость эксплуатируется удаленно без аутентификации.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения Cisco ASA или FTD до версий, в которых данная ошибка исправлена.

  1. Определите текущую версию ПО:
show version | include Software
  1. Перейдите на одну из исправленных версий в зависимости от вашей ветки:

Для Cisco ASA: - Если используется 9.16 и ниже — обновитесь до 9.16.4.57 - Если используется 9.18 — обновитесь до 9.18.4.22 - Если используется 9.20 — обновитесь до 9.20.2.10 - Если используется 9.22 — обновитесь до 9.22.1.1

Для Cisco FTD: - Если используется 7.0 — обновитесь до 7.0.6.3 - Если используется 7.2 — обновитесь до 7.2.9 - Если используется 7.4 — обновитесь до 7.4.2.1

  1. Процедура обновления (пример для ASA через CLI):
copy tftp: flash:


boot system disk0:/[имя_нового_образа].bin


reload

Временные меры

Если немедленное обновление невозможно, рекомендуется применить следующие меры для снижения риска эксплуатации:

  1. Ограничение количества одновременных подключений и эмбриональных соединений (Embryonic connections) для защиты ресурсов:
mpf


policy-map global_policy


class class-default


set connection per-client-embryonic-max 10
  1. Мониторинг и блокировка подозрительных IP-адресов, инициирующих аномальное количество попыток подключения, с помощью Shun:
shun [IP_адрес_атакующего]
  1. Использование Control Plane ACL для ограничения доступа к VPN-интерфейсу только из доверенных сетей (если применимо):
access-list VPN_ALLOW extended permit tcp [доверенная_сеть] [маска] any eq 443


access-group VPN_ALLOW in interface outside
  1. Включение функции Clientless VPN (WebVPN) только в случае крайней необходимости, так как она часто является вектором для подобных атак. Если не используется — отключите:
webvpn


no enable outside
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей