Cisco ASA szoftver IKEv1 és IKEv2 puffer túlcsordulás sérülékenység

Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability

CVE-2016-1287, Cisco Bug IDs: CSCux29978, CSCux42019

A Cisco ASA szoftver Internetes Key Exchange (IKEv1 és IKEv2) 1-es és 2-es verziójának kódjában egy kritikus besorolású sérülékenységet találtak. A megnövekedett kockázat miatt a Kormányzati Eseménykezelő Központ a sérülékenységről riasztást adott ki.

A sérülékenység lehetővé teszi egy távoli nem azonosított támadónak, hogy újra indítsa a támadott rendszert vagy távolról kódot futtasson.

A sérülékenységet az érintett kód területen fellépő puffer túlcsordulás okozza illetve a végrehajtható műveletek nem elégséges korlátozása a memória pufferek határain kívülre. Egy támadó úgy tudja kihasználni ezt a sérülékenységet, hogy speciálisan szerkesztett UDP csomagokat küld a támadott rendszernek. A sérülékenységet kihasználva a támadó önkényes kódfuttatást végezhet, át tudja venni a rendszer feletti teljes kontrollt vagy a rendszer újraindulását idézheti elő.

Megjegyzés: Csak a támadott rendszernek irányított forgalommal lehet a sérülékenységet kihasználni. Azon rendszerek érintettek a sérülékenységben melyek csak “routed firewall” módba és egyszeres vagy többszörös context módba vannak konfigurálva.

A Cisco szoftver frissítést tett közzé a sérülékenység javítására.

A sérülékenységben érintett termékek:

Cisco ASA 5500 Series Adaptive Security Appliances

  • Cisco ASA 5500-X Series Next-Generation Firewalls

  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

  • Cisco ASA 1000V Cloud Firewall

  • Cisco Adaptive Security Virtual Appliance (ASAv)

  • Cisco Firepower 9300 ASA Security Module

  • Cisco ISA 3000 Industrial Security Appliance

A Cisco ASA korábbi 7.2, 8.2, 8.3, és 8.6 verziói szintén érintettek, de támogatásuk már megszünt. Javasolt ezek frissítése egy támogatott verzióra.

Egy eszköz sérülékenysége az alábbi paranccsal ellenőrizhető:

ciscoasa# show running-config crypto map | include interface
Az eszköz sérülékeny ha egy "crypto map"-et kapunk válaszul.

További információk az alábbi linkeken érhetők el:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

http://www.kb.cert.org/vuls/id/327976

http://tech.cert-hungary.hu/vulnerabilities/CH-13020

https://isc.sans.edu/diary/Critical+Cisco+ASA+IKEv2v2+Vulnerability.+Active+Scanning+Detected/20719

Csatolmányok: