CVE-2024-24919のIOC / VPN s2s

誰か、IOCを知っている人はいますか?

パッチを適用すれば扉は閉まりますが、それでも本当にわかりづらいです。

ポート264はグローバルオプション「制御接続を許可」によって開かれ、VSXでは何らかの理由で全てのVSでこのポートが開きます!VPNを実行しているものだけではありません。あまり安全ではありません。

とにかく、必要なポートだけを手動で開きたい場合は、このグローバルオプションを無効にし、その後各VPNコミュニティを変更する必要があります。

ポート264はfw1_topoです。これはリモートアクセスクライアントがゲートウェイからトポロジーをダウンロードするために使用します。

何を伝えようとしているのかわかりません。

サポートキーを読んでください。攻撃者はデバイスのLDAPログイン情報、VPNに接続されたローカルユーザー情報を読み取ることができ、これによりファイアウォール上ですべての証明書を再生成する必要があります。あなたのIOCsはこれらすべてを逆手に取ったものです。

IPS保護があります。

ポート264は関与していません。これはCRLを提供する基本的なHTTPサーバーにあります。

リモートアクセスではなくサイトツーサイトVPNコミュニティのみを使用している場合、このグローバルオプションを無効にすることはできません。

マルチドメイン設定では、グローバルオプションは…まあ…グローバルですので、このルールを手動で作成し、暗黙のルールを置き換える以外に無効にする方法はありません。

私はアウトゴーイングトラフィックをフィルタリングしている境界ゲートウェイを見ています。これらにはVPNブレードは有効になっておらず、このポートでの接続を許可しています。VS0だけでなくすべてのVSで!

リモートアクセスの制御接続をオフにしてください