Összefoglaló 2016-09-05

A Kormányzati Eseménykezelő Központ tájékoztató hírlevele határvédelmi eszközök sérülékenységeiről

2016-08-27

A Kormányzati Eseménykezelő Központ tájékoztatást adott ki az augusztus közepén,
Shadow Broker név alatt nyilvánosságra hozott támadó eszközökkel (exploit) kapcsolatban.
 
Az eddigi elemzések alapján az alábbi termékek esetében azonosították a kihasznált biztonsági
réseket, ugyanakkor több olyan gyártó érintettsége is felmerült (Juniper, Topsec), akik még
jelenleg is vizsgálatot folytatnak és ez idáig nem adtak ki közleményt.
 
- Cisco ASA két sérülékenysége vált ismertté (CVE-2016-6366, CVE-2016-6367),
amelyek közül az első távolról, utóbbi csak lokálisan használható ki és mindkettő
tetszőleges kód futtatására adhat módot. Javasoljuk, hogy mielőbb telepítsék a
megjelent szoftverfrissítéseket!
 
- Támadhatóak a Cisco PIX 5.2(9) - 6.3(5) verziók is. Esetükben rosszindulatú távoli
felhasználók képesek lehetnek a tűzfalak VPN kommunikációjának visszafejtésére,
titkos kulcsaik kinyerésére. Miután ezen eszközökhöz már nem érhető el gyártói
támogatás, javasoljuk az eszközök cseréjét illetve többrétegű védelmi rendszer
kialakítását!
 
- A Fortinet FortiOS (Fortigate) sérülékenységét (CVE-2016-6909) kihasználva a
támadók számára jogosulatlan távoli kódfuttatásra és művelet végrehajtásra nyílhat
lehetőség.

Javasolt a megjelent szoftverfrissítések mielőbbi telepítése!

További információk az alábbi hivatkozásokon találhatók:
 

OpenSSL sérülékenysége

2016-08-25

CVE-2016-2128

Az OpenSSL közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó szolgáltatásmegtagadást érhet el.

A távoli támadó egy speciálisan megszerkesztet számsorozattal használhatja ki a sérülékenységet, amely a DTLS (Datagram Transport Layer Security) visszajátszás elleni védelemben vált ki hibát és ennek következményeként az érvényes csomagokat eldobja a célrendszer.

A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

 
További információk találhatók az alábbi linkeken: