美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了思科 ASA 和 FTD 以及 RoundCube Webmail 漏洞。
美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞:
- CVE-2024-20481 Cisco ASA 和 FTD 拒绝服务漏洞
- CVE-2024-37383 RoundCube Webmail 跨站脚本 (XSS) 漏洞
本周,思科解决了 Adaptive Security Appliance (ASA)、Secure Firewall Management Center (FMC) 和 Firepower Threat Defense (FTD) 产品中的多个漏洞,其中包括一个被追踪为 CVE-2024-20481 的主动利用漏洞。
CVE-2024-20481 漏洞(CVSS 得分为 5.8)是一个拒绝服务 (DoS) 问题,影响 ASA 和 FTD 的远程访问 VPN (RAVPN) 服务。
未认证的远程攻击者可利用该漏洞导致 RAVPN 服务拒绝服务 (DoS)。
“此漏洞是由于资源耗尽造成的。攻击者可通过向受影响设备发送大量 VPN 验证请求来利用此漏洞。成功利用后,攻击者可以耗尽资源,导致受影响设备上的 RAVPN 服务出现 DoS。根据攻击造成的影响,可能需要重新加载设备才能恢复 RAVPN 服务。与 VPN 无关的服务不受影响。”
今年 4 月,思科 Talos 研究人员详细介绍了针对 VPN、SSH 服务和常用登录凭证的大规模暴力破解活动。思科警告客户,密码喷射攻击一直针对配置在思科安全防火墙设备上的远程访问 VPN(RAVPN)服务。
该公司发布了一份文件,其中包含针对远程访问 VPN(RAVPN)服务的密码喷射攻击的建议。这家 IT 巨头指出,这些攻击也针对第三方 VPN 集中器。
现在,该公司证实,CVE-2024-20481 漏洞正在被恶意利用。
“思科产品安全事故响应小组(PSIRT)意识到有人恶意利用本公告中描述的漏洞。”
最近,来自 Positive Technologies 的研究人员警告说,未知威胁行为者试图利用开源 Roundcube Webmail 软件中现已打补丁的漏洞 CVE-2024-37383(CVSS 得分:6.1)。
攻击者利用该漏洞作为网络钓鱼活动的一部分,旨在窃取 Roundcube 用户的凭据。
2024 年 9 月,Positive Technologies 发现了一封发送给独联体国家政府组织的电子邮件。对时间戳的分析表明,该电子邮件发送于 2024 年 6 月。电子邮件的内容是空的,邮件中只有一个附件,在电子邮件客户端中看不到。
电子邮件正文包含独特的标签,其中包含攻击者用来解码和执行 JavaScript 代码的语句 eval(atob(…))。研究人员注意到,属性名称(attributeName=“href”)包含一个额外的空格,这表明该电子邮件试图利用 Roundcube Webmail 中的 CVE-2024-37383 漏洞。
该漏洞影响1.5.7之前的Roundcube Webmail和1.6.7之前的1.6.x,攻击者可利用该漏洞通过SVG animate属性进行XSS攻击。2024 年 5 月發佈的 1.5.7 及 1.6.7 版本已修復漏洞。
攻击者可利用该漏洞在接收者网络浏览器的上下文中执行任意 JavaScript 代码。
攻击者可以通过诱骗收件人使用存在漏洞的 Roundcube 客户端版本打开特制电子邮件来利用该漏洞。
“当在 “href ”属性名中添加额外空格时,语法将不会被过滤,并将出现在最终文档中。在此之前,它的格式为{属性名} = {属性值}”,Positive Technologies 发布的报告如是说。“通过插入 JavaScript 代码作为 “href ”的值,每当 Roundcube 客户端打开恶意电子邮件时,我们就可以在 Roundcube 页面上执行该代码”。
研究人员还公布了针对该漏洞的 PoC 漏洞利用代码。
攻击中使用的 JavaScript 有效载荷会保存一个空 Word 文档(“Road map.docx”),并使用 ManageSieve 插件从邮件服务器检索邮件。
该攻击在 Roundcube 界面中创建了一个虚假登录表单,捕获用户凭据并将其发送至恶意服务器(libcdn.org)。该域名注册于 2024 年。
根据约束性操作指令 (BOD) 22-01: 减少已知漏洞被利用的重大风险》,FCEB 机构必须在规定日期前解决已发现的漏洞,以保护其网络免受利用目录中漏洞的攻击。
专家们还建议私营机构审查《目录》,并解决其基础设施中的漏洞。
CISA 命令联邦机构在 2024 年 11 月 14 日前修复这一漏洞。