一、 漏洞 CVE-2024-20260 基础信息
漏洞标题
思科自适应安全虚拟设备和安全防火墙威胁防御虚拟SSL VPN拒绝服务漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Cisco自适应安全虚拟设备(ASAv)和Cisco安全防火墙威胁防御虚拟设备(FTDv,原Cisco Firepower威胁防御虚拟设备)的VPN服务器和管理Web服务器中存在一个漏洞,该漏洞可能允许未认证的远程攻击者耗尽虚拟设备的系统内存,从而使SSL VPN连接处理速度变慢,最终完全停止。 此漏洞是由于虚拟平台上对新进来的SSL/TLS连接缺乏适当的内存管理所致。攻击者可以通过向目标虚拟平台发送大量的新进SSL/TLS连接来利用此漏洞。成功的利用可能导致系统内存耗尽,从而产生拒绝服务(DoS)状况。如果停止攻击流量,内存可能会缓慢被回收,但可能需要手动重新加载才能快速恢复操作。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
Cisco Adaptive Security Virtual Appliance and Secure Firewall Threat Defense Virtual SSL VPN Denial of Service Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the VPN and management web servers of the Cisco Adaptive Security Virtual Appliance (ASAv) and Cisco Secure Firewall Threat Defense Virtual (FTDv), formerly Cisco Firepower Threat Defense Virtual, platforms could allow an unauthenticated, remote attacker to cause the virtual devices to run out of system memory, which could cause SSL VPN connection processing to slow down and eventually cease all together. This vulnerability is due to a lack of proper memory management for new incoming SSL/TLS connections on the virtual platforms. An attacker could exploit this vulnerability by sending a large number of new incoming SSL/TLS connections to the targeted virtual platform. A successful exploit could allow the attacker to deplete system memory, resulting in a denial of service (DoS) condition. The memory could be reclaimed slowly if the attack traffic is stopped, but a manual reload may be required to restore operations quickly.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未经控制的内存分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco Firepower Threat Defense和Cisco Adaptive Security Virtual Appliance 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Firepower Threat Defense(FTD)和Cisco Adaptive Security Virtual Appliance都是美国思科(Cisco)公司的产品。Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Virtual Appliance是Cisco ASA(自适应安全设备)的虚拟化版本。 Cisco Firepower Threat Defense和Cisco Adapt
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-20260 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-20260 的情报信息