PT-2024-18668 · Cisco · Cisco Meraki Z Series Teleworker Gateway+2
Keane Okelley
·
Publicado
2024-10-02
·
Atualizado
2024-10-08
·
CVE-2024-20500
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Dispositivos Cisco Meraki MX e Cisco Meraki Z Series Teleworker Gateway (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no servidor VPN Cisco AnyConnect poderia permitir que um invasor remoto não autenticado causasse uma condição de DoS no serviço AnyConnect em um dispositivo afetado. Este problema se deve a um gerenciamento insuficiente de recursos ao estabelecer sessões TLS/SSL. Um invasor poderia explorar essa vulnerabilidade enviando uma série de mensagens TLS/SSL maliciosas ao servidor VPN de um dispositivo afetado, fazendo com que o servidor VPN Cisco AnyConnect pare de aceitar novas conexões e impedindo que novas conexões SSL VPN sejam estabelecidas. As sessões SSL VPN existentes não são afetadas. O servidor se recupera normalmente, sem necessidade de intervenção manual, quando o tráfego de ataque cessa.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Anyconnect Vpn Server
Cisco Meraki Mx
Cisco Meraki Z Series Teleworker Gateway