Cisco ASA: пропатчена критическая уязвимость межсетевых экранов

    В конце января компания Cisco сообщила о критической уязвимости CVE-2018-0101 в межсетевых экранах Cisco ASA. Она позволяла злоумышленникам удаленно выполнять вредоносный код, проводить DDoS-атаки и перезагружать систему.

    На сегодняшний день уязвимость «закрыта».

    Мы решили разобраться в ситуации и подробнее взглянуть на вектор атаки.


    / Flickr / Horst Gutmann / CC

    В чем заключалась уязвимость


    Проблему обнаружил исследователь Седрик Халбронн (Cedric Halbronn) из консалтингового агентства по ИБ NCC Group. Она заключалась в XML-парсере межсетевого экрана Cisco Adaptive Security Appliance и была связана с выделением и освобождением памяти при обработке XML-сообщений.

    Хакер мог направить WebVPN-интерфейсу целевого устройства специальным образом модифицированные XML-сообщения, чтобы несколько раз подряд высвободить участок памяти системы. Это приводило к сбою и давало злоумышленнику возможность запускать вредоносный код, менять данные в блоках системной памяти, проводить DDoS-атаки.

    Всего уязвимость затронула более десяти решений Cisco, начиная от 3000 Series Industrial Security Appliance и файрволов ASA 5500-X Series Next-Generation до модулей Firepower Security Appliance и Firepower Threat Defense (FTD). Полный список можно найти по ссылке.

    Еще специалисты Cisco обнаружили 13 уязвимых программных функций ASA.

    Среди них AnyConnect IKEv2:

    crypto ikev2 enable <interface_name>
    webvpn
       anyconnect enable
    

    Решение для работы с политиками безопасности Cisco Security Manager:

    http server enable <port>
    http <remote_ip_address> <remote_subnet_mask> <interface_name>
    

    А также REST API:

    rest-api image disk0:/<image name>
    rest-api agent
    

    Еще в списке приведены функции Firepower Threat Defense – это активный HTTP Service, AnyConnect SSL VPN и AnyConnect IKEv2.



    Заплатки для уязвимости


    Уязвимости дали самую высокую оценку в рейтинге критичности CVSS. И как отметили в Cisco, возможности самостоятельно защититься от всех потенциальных угроз у пользователей не было (сохранив функциональность). Можно было лишь ограничить круг доверенных хостов, настроив доступ ASDM с помощью команды CLI:

    http <remote_ip_address> <remote_subnet_mask> <interface_name>.

    Поэтому компания Cisco в срочном порядке выпустила патчи, которые закрывали уязвимости. Однако несколько дней спустя выяснилось, что представленные разработчиками «заплатки» решали не все проблемы.

    Компания провела дополнительное расследование и выяснила, что под угрозой находятся большее число решений. При этом первоначальные патчи создавали дополнительную DoS-уязвимость. После этого в компании Cisco поспешили выпустить новую серию обновлений и рекомендовали установить их как можно скорее.

    К информации о новых обновлениях некоторые системные администраторы отнеслись без энтузиазма. Первые патчи уже были установлены, а повторный апдейт означал дополнительное время простоя.


    Сейчас все обновления доступны в Cisco Software Center во вкладке Products > Security > Firewalls. На текущий момент уязвимость считается полностью закрытой, и, по данным Cisco, её не успели использовать для проведения хакерских атак.

    Несколько материалов из корпоративного блога 1cloud:

    1cloud.ru
    239,26
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое