Zalecenia CERT Polska w zakresie Cisco ASA lub Cisco FTD

17 maja 2024

uklad-scalony

Komunikat CERT Polska z 15 maja 2024

CERT Polska przekazał komunikat, że w dniu 24 kwietnia firma CISCO poinformowała o odkryciu kilku podatności oznaczonych jako CVE-2024-20353, CVE-2024-20358 oraz CVE-2024-2359, które pozwalają nieautoryzowanemu użytkownikowi na wykonanie ataku typu DoS, jak również lokalne wykonanie kodu i komend z uprawnieniami roota w przypadku użytkowników z uprawnieniami administratora.

Cisco ASA lub Cisco FTD

Wymienione powyżej podatności dotyczą urządzeń Cisco ASA lub Cisco FTD.

Powyższe podatności są wykorzystywane przez grupę APT w celu przejmowania kontroli nad urządzeniami i uzyskania w ten sposób dostępu do sieci wewnętrznej danego podmiotu.

Cisco ASA lub Cisco FTD

Weryfikacja podatności lub ewentualnego przejęcia

Z uwagi na powyższe CERT Polska zaleca podjęcie działań w celu weryfikacji, czy wskazane urządzenia faktycznie są podatne i czy nie doszło do ich przejęcia.

W tym celu należy zweryfikować, czy dane urządzenie nie nawiązywało połączeń z adresami IP wskazanymi w załączniku. W przypadku podejrzenia, że atakujący uzyskali dostęp do urządzenia CERT Polska prosi o kontakt z odpowiednim CSIRTem szczebla krajowego oraz sugeruje wykonać poniższe kroki.

  •   Zalogować się do konsoli CLI urządzenia (w przypadku oprogramowania FTD Software, należy przełączyć się na konsolę CISCO ASA komendą diagnostic-cli)
  •   Przełączyć się do trybu uprzywilejowanego (komenda enable)
  •   Zebrać wyniki następujących komend:
  • show version
    verify /SHA-512 system:memory/text
    debug menu memory 8
  •   Skontaktować się z pomocną techniczną CISCO (TAC), wskazując słowo kluczowe ArcaneDoor i przesyłając wyniki zebrane z komend wykonanych w kroku opisanym punkt wyżej.
Weryfikacja podatności lub ewentualnego przejęcia