Критическая уязвимость межсетевых экранов Cisco ASA позволяет удаленно выполнять произвольный код

Критическая уязвимость межсетевых экранов Cisco ASA позволяет удаленно выполнять произвольный код

Межсетевые экраны Cisco ASA подвержены критической уязвимости CVE-2018-0101, позволяющей злоумышленникам осуществлять удаленное выполнение произвольного кода. Кроме того, ошибка может приводить к отказу в обслуживании и провоцировать перезагрузку системы.

nc7nkizwz51lt-v5zy6sxwkempm.jpeg

Проблему безопасности обнаружил исследователь Седрик Халбронн (Cedric Halbronn) из NCC Group, он планирует представить технические детали на конференции Recon 2018, которая пройдет в Брюсселе 2 февраля.

В чем проблема


Уязвимость была обнаружена в VPN-модуле Secure Sockets Layer (SSL) межсетевых экранов Cisco ASA. Согласно опубликованной компанией информации, при включенной опции webvpn ошибка приводила к попытках двойного освобождения региона памяти.

Для эксплуатации злоумышленнику необходимо сформировать специальные XML-пакеты и отправить их на интерфейс, на котором сконфигурирован webvpn — это откроет возможность выполнения произвольного кода и даст взломщику полный контроль над системой или приведет к перезагрузке устройства. Уязвимость получила наивысший балл критичности CVSS.

Среди уязвимых продуктов Cisco ASA:


3000 Series Industrial Security Appliance (ISA)
ASA 5500 Series Adaptive Security Appliances
Межсетевые экраны ASA 5500-X Series Next-Generation
ASA Services Module для коммутаторов Cisco Catalyst 6500 Series и маршрутизаторов Cisco 7600 Series
Межсетевой экран ASA 1000V Cloud
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series Security Appliance
Firepower 4110 Security Appliance
Модуль Firepower 9300 ASA Security
Firepower Threat Defense (FTD)

Уязвимость впервые появилась в продукте Firepower Threat Defense 6.2.2 в сентябре 2017 года — этот инструмент реализует функциональность удаленного VPN-доступа.

Как защититься


Cisco опубликовала бюллетень безопасности, в котором перечислены рекомендуемые меры по защите. Прежде всего администраторам устройств рекомендуется проверить их версию, и если она в списке уязвимых, установить выпущенные патчи. По данным Cisco Product Security Incident Response Team (PSIRT), на данный момент не зафиксировано попыток атак с применением обнаруженной уязвимости.

Также для обнаружения уязвимостей эксперты Positive Technologies рекомендуют использовать специализированные средства, например систему мониторинга защищенности и соответствия стандартам MaxPatrol 8.
Связанные товары: XSpider / PT Application Inspector / MaxPatrol SIEM
27.02.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF