Cisco Adaptive Security Appliance および Firepower Threat Defense Software リモート・アクセス SSL VPN 認証 対象的なサービス拒否攻撃脆弱性

Cisco Adaptive Security Appliance (ASA) ソフトウェアおよび Cisco Firepower Threat Defense (FTD) ソフトウェアのリモート・アクセス SSL VPN 機能のセッション・アウテンチケーション機能に脆弱性があり、認証されていないリモート・アタッカーがユーザーの認証を妨げることができます。 この脆弱性は、認証プロセスにおけるエントロピーの不足によるものです。アタッカーは、認証中のユーザーのハンドルを特定し、それを使用して認証セッションを終了することで、この脆弱性を悪用することができます。成功した攻撃により、アタッカーは、ユーザーがリモート・アクセス VPN セッションを確立するのを妨げることができます。 Cisco は、この脆弱性を解消するソフトウェア・アップデートをリリースしています。この脆弱性に対する暫定的な対策はありません。 このアドバイザリーは、次のリンクで入手できます：https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-vpn-nyH3fhp このアドバイザリーは、2024 年 10 月の Cisco ASA、FMC、および FTD ソフトウェア・セキュリティ・アドバイザリー・バンドル・パブリケーションの一部です。アドバイザリーの一覧とリンクは、Cisco イベント・レスポンス：2024 年 10 月の半期 Cisco ASA、FMC、および FTD ソフトウェア・セキュリティ・アドバイザリー・バンドル・パブリケーションで入手できます。 セキュリティ・インパクト・レーティング：Medium CVE：CVE-2024-20331