InforSec News: Cảnh báo lỗ hổng nghiêm trọng trong Cisco FMC Software CVE-2024-20424

Cảnh báo lỗ hổng nghiêm trọng trong Cisco FMC Software CVE-2024-20424

Cisco đã phát hành cảnh báo bảo mật cho lỗ hổng nghiêm trọng CVE-2024-20424, với mức điểm CVSS 9.9.

Lỗ hổng này tồn tại trong Cisco Secure Firewall Management Center (FMC), trước đây là Firepower Management Center, có thể cho phép kẻ tấn công từ xa thực thi lệnh tùy ý với quyền root trên hệ điều hành của FMC hoặc trên các thiết bị Firepower Threat Defense (FTD) được quản lý bởi FMC.

Lỗ hổng này xuất phát từ việc kiểm tra không đầy đủ các yêu cầu HTTP trong web quản lý của Cisco FMC. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi yêu cầu HTTP độc hại sau khi đăng nhập với quyền truy cập tối thiểu, ví dụ như tài khoản Security Analyst (Read Only). Nếu khai thác thành công, kẻ tấn công có thể thực thi các lệnh với quyền root trên hệ thống, cho phép chiếm quyền kiểm soát hoàn toàn hệ thống hoặc thiết bị.

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản phần mềm Cisco FMC. Hiện tại, không có phương pháp khắc phục tạm thời nào để giảm thiểu nguy cơ, và việc cập nhật phần mềm là biện pháp duy nhất để vá lỗ hổng này. Cisco đã phát hành các bản vá bảo mật và khuyến nghị người dùng nhanh chóng cập nhật để bảo vệ hệ thống khỏi khả năng bị tấn công.

Phương thức khai thác

Xác thực hệ thống: Kẻ tấn công cần có tài khoản hợp lệ để đăng nhập vào web quản lý của Cisco FMC. Ngay cả những tài khoản có quyền hạn thấp như Security Analyst (Read Only) vẫn có thể được sử dụng để khai thác lỗ hổng này.

Gửi yêu cầu độc hại: Sau khi xác thực thành công, kẻ tấn công có thể gửi các yêu cầu HTTP độc hại tới web quản lý của FMC. Do lỗ hổng xảy ra trong quá trình xử lý yêu cầu HTTP, việc gửi các yêu cầu độc hại này có thể cho phép kẻ tấn công vượt qua các biện pháp bảo mật và thực thi lệnh tùy ý với quyền cao nhất trên hệ điều hành.

Thực thi lệnh với quyền root: Khi khai thác thành công, kẻ tấn công sẽ có thể thực thi các lệnh với quyền root trên Cisco FMC, bao gồm cả việc thực thi lệnh trên các thiết bị Firepower Threat Defense (FTD) được quản lý bởi FMC. Điều này có thể dẫn đến chiếm quyền kiểm soát hệ thống hoàn toàn, cho phép kẻ tấn công thay đổi cấu hình, truy cập dữ liệu nhạy cảm hoặc triển khai mã độc vào hệ thống.

Tác động

Thực thi lệnh từ xa với quyền root (RCE): Lỗ hổng cho phép kẻ tấn công thực thi các lệnh với quyền root trên hệ điều hành của Cisco FMC và các thiết bị FTD được quản lý.

Chiếm quyền kiểm soát hệ thống: Kẻ tấn công có thể kiểm soát toàn bộ hệ thống, bao gồm quyền truy cập và sửa đổi cấu hình hệ thống, truy cập dữ liệu nhạy cảm hoặc cài đặt mã độc.

Lan rộng tấn công: Nếu FMC quản lý nhiều thiết bị FTD hoặc hệ thống mạng, kẻ tấn công có thể sử dụng quyền truy cập này để tấn công thêm các hệ thống khác trong mạng hoặc chiếm quyền kiểm soát nhiều thiết bị hơn.

Phiên bản ảnh hưởng

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản phần mềm Cisco FMC, không phân biệt cấu hình hay phiên bản cụ thể của thiết bị. Cụ thể, các sản phẩm chịu ảnh hưởng gồm:

Cisco Secure Firewall Management Center (FMC) (tất cả các phiên bản)
Cisco Firepower Threat Defense (FTD) (khi được quản lý bởi FMC)
Cisco đã xác nhận rằng lỗ hổng không ảnh hưởng đến các sản phẩm sau:
Cisco Adaptive Security Appliance (ASA) Software
Cisco FTD độc lập (không được quản lý bởi FMC)
Cisco Next-Generation Intrusion Prevention System (NGIPS)

Kiến nghị

Cập nhật phần mềm: Cisco đã phát hành các bản vá để khắc phục hoàn toàn lỗ hổng CVE-2024-20424. Người dùng cần nhanh chóng cập nhật lên phiên bản phần mềm mới nhất từ Cisco để bảo vệ hệ thống của mình. Việc không cập nhật có thể để lỗ hổng bị khai thác và gây ra thiệt hại nghiêm trọng.
Triển khai xác thực đa yếu tố (MFA): Áp dụng biện pháp xác thực đa yếu tố cho các tài khoản truy cập vào hệ thống Cisco FMC để tăng cường bảo mật.
Thực hiện các chính sách bảo mật mạng: Sử dụng tường lửa và các biện pháp bảo mật mạng để hạn chế truy cập vào giao diện quản lý của Cisco FMC, đảm bảo chỉ các thiết bị và người dùng tin cậy mới có thể truy cập vào.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn