CH azonosító
CH-13020Angol cím
Cisco ASA VulnerabilityFelfedezés dátuma
2016.02.09.Súlyosság
KritikusÉrintett rendszerek
ASA 1000V Cloud FirewallASA 5500 Series Adaptive Security Appliances
Adaptive Security Appliance (ASA)
CISCO
Catalyst 6500 Series
Érintett verziók
A sérülékenységgel kapcsolatban érintett eszközök amik az említett Cisco ASA szoftvert használják:
Cisco ASA 5500 Series Adaptive Security Appliances
Cisco ASA 5500-X Series Next-Generation Firewalls
Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Cisco ASA 1000V Cloud Firewall
Cisco Adaptive Security Virtual Appliance (ASAv)
Cisco Firepower 9300 ASA Security Module
Cisco ISA 3000 Industrial Security Appliance
Cisco ASA 5585
Cisco ASA szoftver 7.2, 8.2, 8.3, 8.5, és 8.6 verziók már nem támogatottak. A gyártó javasolja az ügyfeleinek, hogy térjenek át valamelyik támogatott kiadásra.
Összefoglaló
A Cisco ASA Software Internet Key Exchange (IKE) 1 és 2 verziójának sérülékenysége vált ismertté, mely segítségével puffer túlcsordulás idézhető elő.
Leírás
A puffer túlcsordulás olyan kód területen van, ami támadható speciálisan megszerkesztett UDP csomagokkal. A támadó kihasználva a sérülékenységet, átveheti az irányítást az érintett rendszeren, azon távolról tetszőleges kódot futtathat. A gyártó közleménye szerint, nem tudnak arról, hogy ezt a kritikus sérülékenységet aktívan kihasználnák, de a SANS ISC műszaki vezérigazgatója arra figyelmeztet, hogy megnövekedett forgalom észlelhető az 500/UDP porton, melyen valószínűleg a kihasználó kód érkezhet. A sérülékenység érinthette az IPv4 illetve IPv6 forgalmat. A biztonsági hibát már kijavították, azonban régebbi szoftvert használó eszközök is érintettek lehetnek.
Az alábbi Cisco ASA Software konfigurációk sérülékenyek:
- LAN-to-LAN IPsec VPN
- Remote access VPN using the IPsec VPN client
- Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections
- IKEv2 AnyConnect
Nem érintett VPN konfigurációk:
- Clientless SSL
- AnyConnect SSL
Ezek a konfigurációk adminisztrátori jogosultságokkal ellenőrizhetőek. Ahhoz, hogy az IKEv1 vagy IKEv2 VPN kapcsolatokat a Cisco ASA megszüntesse, legalább egy interfészen “crypto map”-ot kell konfigurálni. Az így konfigurált interfészek lekérdezhetőek. A következő példán látható, hogy a visszakapott érték szerint, a outside_map interfészen konfigurálva van a külső szolgáltatás.
ciscoasa# show running-config crypto map | include interface
crypto map outside_map interface outside
UPDATE:
A Cisco ASA 5585 eszköz biztonsági frissítésében SNMP hibára derült fény.
UPDATE 2016.02.16.
A Cisco újabb firmware verziókat adott ki, amiben a SNMP hibát javították.
A sérülékenységről meglehetősen sok technikai információ került ki az alábbi weboldalon!
Megoldás
Frissítsen a legújabb verzióraMegoldás
A lejárt támogatású szoftvereket a gyártó ajánlása alapján migrálják legalább a 9.1(7) verzióra!
A támogatott eszközök esetén az elérhető frissítéseket haladéktalanul telepítsék, továbbá bizonyosodjanak meg annak sikerességéről.
Cisco ASA szoftver legújabb verzója letölthető innen:
Támadás típusa
Authentication Issues (Hitelesítés)Deny of service (Szolgáltatás megtagadás)
execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2016-1287 - NVD CVE-2016-1287
Egyéb referencia: isc.sans.edu
Egyéb referencia: twitter.com