CVE-2024-20494

Nome do software vulnerável e versões afetadas:

Software Cisco Adaptive Security Appliance (ASA) (versões afetadas não especificadas)

Software Cisco Firepower Threat Defense (FTD) (versões afetadas não especificadas)

Descrição:

Uma vulnerabilidade na funcionalidade de criptografia TLS pode permitir que um invasor remoto não autenticado faça com que o dispositivo seja reiniciado inesperadamente, resultando em uma condição de negação de serviço (DoS). Esse problema se deve à validação inadequada de dados durante o handshake do TLS 1.3. Um invasor poderia explorar isso enviando um pacote TLS 1.3 malicioso para um sistema afetado por meio de um soquete de escuta habilitado para TLS 1.3, como “/api/v1/login” ou “/users/{id}”, usando parâmetros vulneráveis como username ou password. A vulnerabilidade também pode afetar a integridade de um dispositivo, causando falhas de comunicação do VPN HostScan ou falhas na transferência de arquivos quando o software Cisco ASA é atualizado usando o Cisco Adaptive Security Device Manager (ASDM).

Recomendações:

Para o software Cisco Adaptive Security Appliance (ASA), considere desativar a funcionalidade de handshake TLS 1.3 até que um patch esteja disponível.

Para o software Cisco Firepower Threat Defense (FTD), restrinja o acesso ao soquete de escuta habilitado para TLS 1.3 para minimizar o risco de exploração.

Como solução alternativa temporária, considere desativar a função checkPassword() ou funções vulneráveis semelhantes até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade