Критическая уязвимость в Cisco ASA

    В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.

    Технический обзор и примеры эксплуатации:
    blog.exodusintel.com/2016/02/10/firewall-hacking

    Узвимости подвержены следующие устройства:
    • Cisco ASA 5500 Series Adaptive Security Appliances
    • Cisco ASA 5500-X Series Next-Generation Firewalls
    • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
    • Cisco ASA 1000V Cloud Firewall
    • Cisco Adaptive Security Virtual Appliance (ASAv)
    • Cisco Firepower 9300 ASA Security Module
    • Cisco ISA 3000 Industrial Security Appliance

    Уже доступны исправленные версии ОС:
    Базовая версия Исправление
    7.2 9.1(6.11)
    8.2 8.2(5.59)
    8.3 9.1(6.11)
    8.4 8.4(7.30)
    8.5 не подвержена
    8.6 9.1(6.11)
    8.7 8.7(1.18)
    9.0 9.0(4.38)
    9.1 9.1(6.11)
    9.2 9.2(4.5)
    9.3 9.3(3.7)
    9.4 9.4(2.4)
    9.5 9.5(2.2)

    На железки с 256 МБ ОЗУ можно установить версию 8.2.5(59) [MEGA].

    Для большинства версий исправление доступно только в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM. Качайте их вручную с портала загрузки.
    И не перепутайте файл прошивки: для одноядерных 5500 это просто asaXXX-k8.bin, для многоядерных 5500-X будет вида asaXXX-X-smp-k8.bin, а для FirePOWER имеет другое расширение asaXXX-X-lfbff-k8.SPA.

    В версии 9.1.7 уже нашли баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств и теперь для закрытия уязвимости рекомендуют ставить 9.1(6.11). Его и другие проблемы обсуждают в /networking.

    Обходное решение


    В качестве обходного решения TAC предлагает фильтровать пакеты для портов 500 и 4500:
    Here is an example of control plane ACL allowing access from 1.1.1.1 and denying everything else:
    access-list test permit udp host 1.1.1.1 any eq 500
    access-list test permit udp host 1.1.1.1 any eq 4500
    access-list test deny udp any any eq 500
    access-list test deny udp any any eq 4500
    access-list test permit ip any any
    access-group test in interface outside control-plane


    P. S.

    Зоркий глаз Sourg приметил абзац для тех, чей контракт истёк или потерялся. Пишите в TAC со ссылкой на бюллетень и серийным номером железки:
    www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

    P. P. S.

    Вдохновившись бескорыстием Cisco, анонимус хотел выложить последние версии в свободный доступ, но заметил странное в просьбе юзернейма и впомнил про зависимости при обновлении без соблюдения которых можно потерять устройство, конфиг, здоровый сон и надежды на будущее. А ещё начиная с версии 8.3 выросли требования к ОЗУ.

    Если вы уверены в своих силах и не боитесь приключений: читайте релизноты, делайте бекап и ищите прошивки на Рутрекере, Руборде, Антициско и MegaSearch.

    Комментарии 10

      +4
      И как обычно, чтобы скачать фикс критической уязвимости, без которого железка фактически может превратиться в тыкву в любой момент, надо иметь валидный контракт.
      Иногда возникает ощущение, что такие баги оставляют специально. Чтобы люди покупали бы контракты даже для самых простых железок с базовым функционалом.
        0
        Может ещё одумаются, а пока рутрекер и megasearch.co.
          0
          Что поделаешь, у них бизнес-модель такая. На самом деле, они могли бы пойти дальше и раздавать железо бесплатно, если б не пиратство свободный файлообмен.
            0
            Это не так, по крайней мере на железки начально-среднего уровня контракт стоит копейки и включает не только обновления. А для железок с LLHW (коммутаторы, точки доступа) загрузки и вовсе открыты.
            +3
            https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
            Customers Without Service Contracts

            Customers who purchase directly from Cisco but do not hold a Cisco service contract and customers who make purchases through third-party vendors but are unsuccessful in obtaining fixed software through their point of sale should obtain upgrades by contacting the Cisco Technical Assistance Center (TAC):
            www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

            Customers should have the product serial number available and be prepared to provide the URL of this advisory as evidence of entitlement to a free upgrade.
              0
              А слона-то мы и не заметили, спасибо!
            +2
            Есть такая профессия «закладочки писать». ЗП обычно платят в АНБ. По договоренности с обычным работодателем. Причем «закладочку» обычно пишут под конкретный момент и атакуемого. Я с трудом представляю что будет дальше. Алгоритмы составления закладок становится все более сложными. Очень трудно делать отсылку к «это у нашего кодера руки кривые». Если так дальше дело пойдет… Циску попросят с большинства рынков. Так как люди ценят свою информацию. Причем что самое странное в этой новости. 8.5 не подвержена уязвимости. Как-то странно смотрится такое со стороны.
              0
              Вот вам и секьюрити железка за дцать штук. )
                +2
                Необязательно. Затронута вся линейка. мин 1 000$ макс 140 000$ в GPL. Ну, бывает что и Акелла промахивается.
                0
                Добавил про 8.2.5(59) для винтажных железок с 256 МБ ОЗУ.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое