Критическая уязвимость в Cisco ASA

в 18:25, , рубрики: Cisco, cisco asa, cve-2016-1287, ike, Сетевые технологии, системное администрирование

В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.

Подробное описание:
blog.exodusintel.com/2016/02/10/firewall-hacking

Узвимости подвержены следующие устройства:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance

Уже доступны исправленные версии ОС:

Базовая версия Исправление
7.2 9.1(7)
8.2 9.1(7)
8.3 9.1(7)
8.4 8.4(7.30)
8.5 не подвержена
8.6 9.1(7)
8.7 8.7(1.18)
9.0 9.0(4.38)
9.1 9.1(7)
9.2 9.2(4.5)
9.3 9.3(3.7)
9.4 9.4(2.4)
9.5 9.5(2.2)

Для большинства современных ОС исправление доступно в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM, а на портале загрузки четвёртая цифра версии указана только в Release Notes.
Не перепутайте файл прошивки при загрузке: для одноядерных 5500 это просто asaXXX-k8.bin, для многоядерных 5500-X имя будет вида asaXXX-X-smp-k8.bin, а для FirePOWER имеет другое расширение asaXXX-X-lfbff-k8.SPA.

В версии 9.1.7 уже нашли баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств. Его и другие проблемы обсуждают в /networking.

Обходное решение

В качестве обходного решения TAC предлагает фильтровать пакеты для портов 500 и 4500:

Here is an example of control plane ACL allowing access from 1.1.1.1 and denying everything else:
access-list test permit udp host 1.1.1.1 any eq 500
access-list test permit udp host 1.1.1.1 any eq 4500
access-list test deny udp any any eq 500
access-list test deny udp any any eq 4500
access-list test permit ip any any
access-group test in interface outside control-plane

P. S.

Зоркил глаз Sourg приметил абзац для тех, чей контракт истёк, сломался или потерялся. Для получения обновлений с инструкцией по установке обращайтесь в TAC с серийным номером и ссылкой на бюллетень:
www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

P. P. S.

Вдохновившись бескорыстием Cisco, анонимус хотел выложить последние версии в свободный доступ, но потом заметил странное в просьбе страждущего и впомнил про зависимости при обновлении без соблюдения которых можно потерять устройство, конфиг, здоровый сон и надежды на будущее.
Если вы уверены в своих силах и не боитесь преключений, то читайте релизноты, делайте бекап и ищите прошивки на Рутрекере, Руборде, Антициско и MegaSearch.

Автор: navion

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js