Trusted DesignCVE-2024-20481 の詳細
CVEの情報
説明:
A vulnerability in the Remote Access VPN (RAVPN) service of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) of the RAVPN service.
This vulnerability is due to resource exhaustion. An attacker could exploit this vulnerability by sending a large number of VPN authentication requests to an affected device. A successful exploit could allow the attacker to exhaust resources, resulting in a DoS of the RAVPN service on the affected device. Depending on the impact of the attack, a reload of the device may be required to restore the RAVPN service. Services that are not related to VPN are not affected.
Cisco Talos discussed these attacks in the blog post Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials.
CVE更新日: 2024-10-23 18:15:11.737000
CVSSバージョン: 3.1
CVSSスコア: 5.8
KEVの情報
KEV更新日: 2024-10-24
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.111220000
EPSS更新日: 2026-04-16 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: medium
Automatable: True
CVE-2024-20481について、以下の観点で解説します。
1. 脆弱性の概要
Cisco Adaptive Security Appliance (ASA) Software および Cisco Firepower Threat Defense (FTD) Software のリモートアクセスVPN (RAVPN) サービスに存在する脆弱性です。認証されていないリモートの攻撃者が、サービス運用妨害 (DoS) 状態を引き起こす可能性があります。
1.1 影響
RAVPN サービスに対してサービス運用妨害 (DoS) を引き起こします。 攻撃者は、大量のVPN認証要求を送信することで、デバイスのリソースを枯渇させ、RAVPNサービスが利用できなくなる状態に陥らせる可能性があります。 攻撃の影響によっては、RAVPNサービスを復旧するためにデバイスの再起動が必要になる場合があります。 VPNに関連しない他のサービスには影響はありません。 本脆弱性は、大規模なパスワードスプレー攻撃の一環として積極的に悪用されていることが確認されています。
1.2 深刻度
CVSS v3.1の基本評価値は5.8で、「警告 (Medium)」と評価されています。 CVSSベクトルは CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L です。 攻撃元区分はネットワーク、攻撃条件の複雑さは低、攻撃に必要な特権レベルは不要、利用者の関与も不要であり、攻撃の敷居が低い点が懸念されています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
2.2 影響を受ける設定
以下の製品は影響を受けません。 * IOS Software * IOS XE Software * Meraki製品 * NX-OS Software * Secure Firewall Management Center (FMC) Software (旧Firepower Management Center Software)
3. 影響を受けた時の兆候
show aaa-serverコマンドを繰り返し実行した際に、認証拒否の数が増加している。4. 推奨対策
4.1 本対策
CiscoはCVE-2024-20481に対処するパッチをリリースしています。 影響を受けるすべてのシステムを、利用可能な最新のソフトウェアバージョンに直ちにアップグレードすることが強く推奨されます。
4.2 暫定回避策(緩和策)
この脆弱性自体に対する既知の回避策は現在ありません。 しかし、Ciscoはパスワードスプレー攻撃に対して以下の対策を推奨しています。
また、アップデートが不可能なデバイス向けに、SSL/TLSベースのVPNウェブサービスを無効にするなどの一時的な緩和策のガイダンスも提供していますが、これには独自のリスクが伴います。
5. 他に解説すべき観点
参照したサイト