أعلنت شركة سيسكو عن إصدار تحديثات أمان لمعالجة عدة ثغرات في منتجاتها Adaptive Security Appliance (ASA) وSecure Firewall Management Center (FMC) وFirepower Threat Defense (FTD)، بما في ذلك ثغرة تم استغلالها فعلياً في هجمات.
الثغرة المستغلة: CVE-2024-20481
- درجة CVSS: 5.8
- المنتجات المتأثرة: ASA وFTD مع تمكين خدمة Remote Access VPN (RAVPN).
- الأثر: يمكن للمهاجمين غير المصرح لهم من بُعد التسبب في هجوم حجب الخدمة (DoS).
- السبب: استنزاف الموارد نتيجة إرسال عدد كبير من طلبات المصادقة عبر الـVPN إلى الجهاز المستهدف.
- وضع الاستغلال: سيسكو أكدت أنها رصدت استغلال هذه الثغرة في هجمات فعلية. وتم الربط بين هذه الهجمات وحملة هجمات brute-force واسعة النطاق التي أبلغت عنها الشركة في أبريل 2024. لم تستهدف الحملة منتجات سيسكو فقط، بل شملت أيضًا أجهزة Checkpoint وFortinet وMikroTik وSonicWall وDraytek وUbiquiti.
ثغرات أخرى تم معالجتها:
نشرت سيسكو، ضمن إصدارها نصف السنوي لأكتوبر 2024، تفاصيل عن 50 ثغرة أخرى، من بينها 3 ثغرات حرجة. ورغم ذلك، لم تُسجل أي عمليات استغلال فعلي لها حتى الآن.
1. CVE-2024-20329
- درجة CVSS: 9.9
- الأثر: يسمح للمهاجم الذي يملك صلاحيات الدخول عن بُعد بتنفيذ أوامر نظام بصلاحيات الجذر (root) عبر بروتوكول SSH، مما يمنحه تحكمًا كاملاً في النظام.
2. ثغرات الكشف عن المعلومات في FMC:
- CVE-2024-20377 وCVE-2024-20387 وCVE-2024-20388
- وضع الاستغلال: تم نشر أكواد إثبات المفهوم (Proof-of-Concept) لهذه الثغرات، مما يزيد من احتمال استغلالها.
التوصيات:
- تطبيق التحديثات فورًا: تحث سيسكو المستخدمين على تحديث الأنظمة المتأثرة، خاصة إذا كانت خدمة RAVPN مفعلة.
- مراقبة الأنظمة: يُنصح بمراقبة سجلات VPN وSSH بدقة لرصد أي محاولات هجوم brute-force.
- تعزيز الأمن: تعطيل الخدمات غير الضرورية وتشديد ضوابط الوصول لمنع الاستغلال.
تسلط هذه الثغرات الضوء على أهمية إدارة التحديثات بشكل دوري والمراقبة الاستباقية للأجهزة المتصلة، خصوصًا تلك التي تتعرض لتهديدات خارجية
