CH azonosító
CH-13506Angol cím
Cisco Adaptive Security Appliance SNMP Remote Code Execution VulnerabilitiesFelfedezés dátuma
2016.08.18.Súlyosság
MagasÉrintett rendszerek
Adaptive Security Appliance (ASA)CISCO
Érintett verziók
CVE-2016-6366 - NVD CVE-2016-6366 esetében minden Cisco ASA szoftver release érintett.
CVE-2016-6367 esetében a Cisco ASA 9.2 előtti verziók.
Érintett eszközök:
Cisco ASA 5500 Series Adaptive Security Appliances
Cisco ASA 5500-X Series Next-Generation Firewalls
Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches és Cisco 7600 Series Routers
Cisco ASA 1000V Cloud Firewall
Cisco Adaptive Security Virtual Appliance (ASAv)
Cisco Firepower 4100 Series
Cisco Firepower 9300 ASA Security Module
Cisco Firepower Threat Defense Software
Cisco PIX Firewals 5.3(9) - 6.3(5)
Cisco Firewall Services Module (FWSM)
Cisco Industrial Security Appliance 3000
Összefoglaló
A Cisco ASA Software Simple Network Management Protocol (SNMP) implementációjának magas kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadók hitelesítés nélkül újraindíthatják az érintett Cisco eszközt, illetve tetszőleges kódot futtathatnak azon.
UPDATE 2016.08.19.:
A Cisco ASA terméket egy másik, (közepes kockázati besorolású) sérülékenység is sújt, amely egy autentikált, helyi rosszindulatú támadó számára szolgáltatás-megtagadás kondíció (DoS) megteremtését és tetszőleges kód futtatását teheti lehetővé.
A Cisco PIX tűzfalak VPN kommunikációjának visszafejtéséhez használt, BENIGNCERTAIN-ként elnevezett exploit kód került napvilágra.
Leírás
Az előbbi (CVE-2016-6366) sérülékenységet egy puffer túlcsordulási hiba okozza, amelyet speciálisan formázott SNMP csomagokkal lehet kihasználni. A támadónak az SNMP “community string” ismeretében, a sérülékenység kihasználásával tetszőleges kód futtatására nyílhat lehetősége, átvéve az eszköz feletti felügyeletet. A sérülékenység IPv4 forgalommal támadható csak.
Az utóbbi (CVE-2016-6367) biztonsági hiba a parancssori felületen keresztül használható ki, a hátterében pedig bizonyos érvénytelen parancsok futtathatósága áll.
A BENIGNCERTAIN exploit kód által érintett PIX tűzfalak 2002-től jelentek meg és 2009-ig támogatta a gyártó. Miután még vannak felhasználók, akik továbbra is használnak PIX eszközöket, a gyártó a kód vizsgálata alapján közölte, hogy a PIX v 5.3(9) – 6.3(5) verziók érintettek, a 7.0 és azt követő verziók nem. Az exploit-ot más, a Shadow Brokers csoport birtokában lévő exploit-okkal együtt használva a PIX eszközök feletti teljes adminisztratív kontrol megszerezhető lehet.
A CISCO a Shadow Brokers csoport által augusztus 15-én megjelentetett információk alapján értesült a problémákról. A nyilvánosságra hozott anyagok több tűzfal gyártó termékéhez készült exploit kódot is tartalmaztak.
Megoldás
Alkalmazza a gyártó által javasolt workaround-ot. Csak megbízható felhasználóknak adjanak SNMP hozzáférést és monitorozzák az érintett rendszereket az snmp-server parancscsal. A “community string” ne legyen triviális és javasolt a rendszeres változtatása.
CVE-2016-6367 esetében már elérhető javítás. (Lásd a gyártói hivatkozást!)
Javasolt a Cisco PIX eszközök cseréje illetve kiegészítő hálózati megoldásokkal történő ellátása.
UPDATE 2016.08.24.:
A gyártó idő közben frissítette a tájékoztatóját a CVE-2016-6366-hoz készült javítást tartalmazó release-ek táblázatával:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Egyéb referencia: arstechnica.com
Egyéb referencia: arstechnica.com
Egyéb referencia: news.softpedia.com
CVE-2016-6366 - NVD CVE-2016-6366
CVE-2016-6367 - NVD CVE-2016-6367
Gyártói referencia: blogs.cisco.com
