В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.
Подробное описание:
blog.exodusintel.com/2016/02/10/firewall-hacking
Узвимости подвержены следующие устройства:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco ISA 3000 Industrial Security Appliance
Уже доступны исправленные версии ОС:
| Базовая версия | Исправление |
|---|---|
| 7.2 | 9.1(7) |
| 8.2 | 9.1(7) |
| 8.3 | 9.1(7) |
| 8.4 | 8.4(7.30) |
| 8.5 | не подвержена |
| 8.6 | 9.1(7) |
| 8.7 | 8.7(1.18) |
| 9.0 | 9.0(4.38) |
| 9.1 | 9.1(7) |
| 9.2 | 9.2(4.5) |
| 9.3 | 9.3(3.7) |
| 9.4 | 9.4(2.4) |
| 9.5 | 9.5(2.2) |
Для большинства современных ОС исправление доступно в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM, а на портале загрузки четвёртая цифра версии указана только в Release Notes.
Не перепутайте файл прошивки при загрузке: для одноядерных 5500 это просто asaXXX-k8.bin, для многоядерных 5500-X имя будет вида asaXXX-X-smp-k8.bin, а для FirePOWER имеет другое расширение asaXXX-X-lfbff-k8.SPA.
В версии 9.1.7 уже нашли баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств. Его и другие проблемы обсуждают в /networking.
Обходное решение
В качестве обходного решения TAC предлагает фильтровать пакеты для портов 500 и 4500:
Here is an example of control plane ACL allowing access from 1.1.1.1 and denying everything else:
access-list test permit udp host 1.1.1.1 any eq 500
access-list test permit udp host 1.1.1.1 any eq 4500
access-list test deny udp any any eq 500
access-list test deny udp any any eq 4500
access-list test permit ip any any
access-group test in interface outside control-plane
P. S.
Зоркил глаз Sourg приметил абзац для тех, чей контракт истёк, сломался или потерялся. Для получения обновлений с инструкцией по установке обращайтесь в TAC с серийным номером и ссылкой на бюллетень:
www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
P. P. S.
Вдохновившись бескорыстием Cisco, анонимус хотел выложить последние версии в свободный доступ, но потом заметил странное в просьбе страждущего и впомнил про зависимости при обновлении без соблюдения которых можно потерять устройство, конфиг, здоровый сон и надежды на будущее.
Если вы уверены в своих силах и не боитесь преключений, то читайте релизноты, делайте бекап и ищите прошивки на Рутрекере, Руборде, Антициско и MegaSearch.
Автор: navion
