Cisco ASA távoli kódfuttatás és DoS kritikus besorolású sérülékenysége
2018-02-05
Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability
CVE-2018-0101, Cisco Bug IDs: CSCvg35618, CSCvh79732, CSCvh81737, CSCvh81870
A Cisco ASA XML szövegelemzőjének kritikus besorulálú (CVSS 10) sérülékenysége lehetővé teszi egy nem azonosított távoli támadónak, hogy az érintett rendszer újraindulását okozza vagy távoli kódot futtasson. Továbbá az is előfordulhat, hogy az ASA leáll a bejövő VPN azonosítási kérések feldolgozásával az alacsony szabad memória állapot miatt.
A sérülékenységet a rosszindulatúan szerkesztett XML állomány feldolgozása során végrehatott memória foglalás és felszabadítás eredményezi. A támadó úgy tudja kihasználni a sérülékenységet, hogy rosszindulatúan szerkesztett XML csomagokat küld a támadott eszköz sérülékeny interfészének. A sérülékenység sikeres kihasználása lehtővé teszi a támadónak, hogy önkényes kódot futtasson és átvegye a teljes rendszer feletti vezérlést, újraindítsa a támadott eszközt vagy megállítsa a bejövő VPN azonosítási kérések feldolgozását.
A sérülékenység meglétéhez az ASA eszköz interfészén engedélyezve kell lennie az SSL vagy IKEv2 Remote Access VPN szolgáltatásnak. A sérülékenység kihasználhatóságát az is befolyásolja, hogy a támadó miként férhet hozzá az interfészhez.
A sérülékenység javítására a Cisco szoftver frissítéseket adott ki. Megelőző intézkedés nem áll rendelkezésre.
Javasolt a szoftver frissítés mihamarabbi elvégzése! Ahol ez nem lehetséges javasolt a VPN elérés IP szintű korlátozása!
A sérülékenységgel érintett ASA szoftvereket futtató eszközök az alábbiak:
-
3000 Series Industrial Security Appliance (ISA)
-
ASA 5500 Series Adaptive Security Appliances
-
ASA 5500-X Series Next-Generation Firewalls
-
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
-
ASA 1000V Cloud Firewall
-
Adaptive Security Virtual Appliance (ASAv)
-
Firepower 2100 Series Security Appliance
-
Firepower 4110 Security Appliance
-
Firepower 4120 Security Appliance
-
Firepower 4140 Security Appliance
-
Firepower 4150 Security Appliance
-
Firepower 9300 ASA Security Module
-
Firepower Threat Defense Software (FTD)
-
FTD Virtual
-
Firepower Threat Defense Software (FTD)
-
FTD Virtual
A sérülékenységgel érintett ASA szoftver képességeket és a sérülékeny beállításokat az alábbi táblázat tartalmazza:
|
Feature |
Vulnerable Configuration |
|---|---|
|
Adaptive Security Device Manager (ASDM)1 |
http server enable <port> |
|
AnyConnect IKEv2 Remote Access (with client services) |
crypto ikev2 enable <interface_name> client-services port <port #> |
|
AnyConnect IKEv2 Remote Access (without client services) |
crypto ikev2 enable <interface_name> |
|
AnyConnect SSL VPN |
webvpn |
|
Cisco Security Manager2 |
http server enable <port> |
|
Clientless SSL VPN |
webvpn |
|
Cut-Through Proxy (Not vulnerable unless used in conjunction with other vulnerable features on the same port) |
aaa authentication listener <interface_name> port <number> |
|
Local Certificate Authority (CA) |
crypto ca server |
|
Mobile Device Manager (MDM) Proxy3 |
mdm-proxy |
|
Mobile User Security (MUS) |
webvpn |
|
Proxy Bypass |
webvpn |
|
REST API4 |
rest-api image disk0:/<image name> |
|
Security Assertion Markup Language (SAML) Single Sign-On (SSO)5 |
N/A |
1ASDM is vulnerable only from an IP address in the configured http command range.
2 Cisco Security Manager is vulnerable only from an IP address in the configured http command range.
3The MDM Proxy is first supported as of software release 9.3.1.
4The REST API is first supported as of software release 9.3.2. The REST API is vulnerable only from an IP address in the configured http command range.
5SAML SSO is first supported as of software release 9.6.
További információk találhatók az alábbi linkeken:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1