Cisco ASA sérülékenység

CH azonosító

CH-13020

Angol cím

Cisco ASA Vulnerability

Felfedezés dátuma

2016.02.09.

Súlyosság

Kritikus

Érintett rendszerek

ASA 1000V Cloud Firewall
ASA 5500 Series Adaptive Security Appliances
Adaptive Security Appliance (ASA)
CISCO
Catalyst 6500 Series

Érintett verziók

A sérülékenységgel kapcsolatban érintett eszközök amik az említett Cisco ASA szoftvert használják:

Cisco ASA 5500 Series Adaptive Security Appliances
Cisco ASA 5500-X Series Next-Generation Firewalls
Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Cisco ASA 1000V Cloud Firewall
Cisco Adaptive Security Virtual Appliance (ASAv)
Cisco Firepower 9300 ASA Security Module
Cisco ISA 3000 Industrial Security Appliance
Cisco ASA 5585

Cisco ASA szoftver 7.2, 8.2, 8.3, 8.5, és 8.6 verziók már nem támogatottak. A gyártó javasolja az ügyfeleinek, hogy térjenek át valamelyik támogatott kiadásra.

Összefoglaló

Cisco ASA Software Internet Key Exchange (IKE) 1 és 2 verziójának sérülékenysége vált ismertté, mely segítségével puffer túlcsordulás idézhető elő.

Leírás

A puffer túlcsordulás olyan kód területen van, ami támadható speciálisan megszerkesztett UDP csomagokkal. A támadó kihasználva a sérülékenységet, átveheti az irányítást az érintett rendszeren, azon távolról tetszőleges kódot futtathat. A gyártó közleménye szerint, nem tudnak arról, hogy ezt a kritikus sérülékenységet aktívan kihasználnák, de a SANS ISC műszaki vezérigazgatója arra figyelmeztet, hogy megnövekedett forgalom észlelhető az 500/UDP porton, melyen valószínűleg a kihasználó kód érkezhet. A sérülékenység érinthette az IPv4 illetve IPv6 forgalmat. A biztonsági hibát már kijavították, azonban régebbi szoftvert használó eszközök is érintettek lehetnek. 

Az alábbi Cisco ASA Software konfigurációk sérülékenyek:

  • LAN-to-LAN IPsec VPN
  • Remote access VPN using the IPsec VPN client
  • Layer 2 Tunneling Protocol (L2TP)-over-IPsec VPN connections
  • IKEv2 AnyConnect

Nem érintett VPN konfigurációk:

  • Clientless SSL
  • AnyConnect SSL

Ezek a konfigurációk adminisztrátori jogosultságokkal ellenőrizhetőek. Ahhoz, hogy az IKEv1 vagy IKEv2 VPN kapcsolatokat a Cisco ASA megszüntesse, legalább egy interfészen “crypto map”-ot kell konfigurálni. Az így konfigurált interfészek lekérdezhetőek. A következő példán látható, hogy a visszakapott érték szerint, a outside_map interfészen konfigurálva van a külső szolgáltatás.

ciscoasa# show running-config crypto map | include interface

crypto map outside_map interface outside

UPDATE:

A Cisco ASA 5585 eszköz biztonsági frissítésében SNMP hibára derült fény. 

UPDATE 2016.02.16. 

A Cisco újabb firmware verziókat adott ki, amiben a SNMP hibát javították.

A sérülékenységről meglehetősen sok technikai információ került ki az alábbi weboldalon!

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A lejárt támogatású szoftvereket a gyártó ajánlása alapján migrálják legalább a 9.1(7) verzióra!

A támogatott eszközök esetén az elérhető frissítéseket haladéktalanul telepítsék, továbbá bizonyosodjanak meg annak sikerességéről.

Cisco ASA szoftver legújabb verzója letölthető innen:

http://www.cisco.com/cisco/software/navigator.html


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »