Cisco ASA: пропатчена критическая уязвимость межсетевых экранов

В конце января компания Cisco сообщила о критической уязвимости CVE-2018–0101 в межсетевых экранах Cisco ASA. Она позволяла злоумышленникам удаленно выполнять вредоносный код, проводить DDoS-атаки и перезагружать систему.

На сегодняшний день уязвимость «закрыта».

Мы решили разобраться в ситуации и подробнее взглянуть на вектор атаки.

nulc9b1x2kobgnvhb_iwpvfyi10.jpeg
/ Flickr / Horst Gutmann / CC

В чем заключалась уязвимость


Проблему обнаружил исследователь Седрик Халбронн (Cedric Halbronn) из консалтингового агентства по ИБ NCC Group. Она заключалась в XML-парсере межсетевого экрана Cisco Adaptive Security Appliance и была связана с выделением и освобождением памяти при обработке XML-сообщений.

Хакер мог направить WebVPN-интерфейсу целевого устройства специальным образом модифицированные XML-сообщения, чтобы несколько раз подряд высвободить участок памяти системы. Это приводило к сбою и давало злоумышленнику возможность запускать вредоносный код, менять данные в блоках системной памяти, проводить DDoS-атаки.

Всего уязвимость затронула более десяти решений Cisco, начиная от 3000 Series Industrial Security Appliance и файрволов ASA 5500-X Series Next-Generation до модулей Firepower Security Appliance и Firepower Threat Defense (FTD). Полный список можно найти по ссылке.

Еще специалисты Cisco обнаружили 13 уязвимых программных функций ASA.

Среди них AnyConnect IKEv2:

crypto ikev2 enable 
webvpn
   anyconnect enable


Решение для работы с политиками безопасности Cisco Security Manager:

http server enable 
http   


А также REST API:

rest-api image disk0:/
rest-api agent


Еще в списке приведены функции Firepower Threat Defense — это активный HTTP Service, AnyConnect SSL VPN и AnyConnect IKEv2.

-ptrea-2xwf-wijysqh2l8ikdf8.jpeg

Заплатки для уязвимости


Уязвимости дали самую высокую оценку в рейтинге критичности CVSS. И как отметили в Cisco, возможности самостоятельно защититься от всех потенциальных угроз у пользователей не было (сохранив функциональность). Можно было лишь ограничить круг доверенных хостов, настроив доступ ASDM с помощью команды CLI:

http .

Поэтому компания Cisco в срочном порядке выпустила патчи, которые закрывали уязвимости. Однако несколько дней спустя выяснилось, что представленные разработчиками «заплатки» решали не все проблемы.

Компания провела дополнительное расследование и выяснила, что под угрозой находятся большее число решений. При этом первоначальные патчи создавали дополнительную DoS-уязвимость. После этого в компании Cisco поспешили выпустить новую серию обновлений и рекомендовали установить их как можно скорее.

К информации о новых обновлениях некоторые системные администраторы отнеслись без энтузиазма. Первые патчи уже были установлены, а повторный апдейт означал дополнительное время простоя.

For a whole week I have been patching ASAs with CVE-2018–0101. Today Cisco reports that the patches are not doing a good job. We need to patch again folks!  https://t.co/4faEXJGd7J https://t.co/LkgPFwhljq

— Dennis Perto (@PertoDK) February 5, 2018


Сейчас все обновления доступны в Cisco Software Center во вкладке Products > Security > Firewalls. На текущий момент уязвимость считается полностью закрытой, и, по данным Cisco, её не успели использовать для проведения хакерских атак.

Несколько материалов из корпоративного блога 1cloud:

  • Meltdown и Spectre: новогодняя процессорная уязвимость
  • Как защитить данные в облаке: опыт 1cloud
  • Backup и Snapshot: отличия и применение
  • 4 ключевых тренда облачной безопасности
  • Как обезопасить Linux-систему: 10 советов
  • Немного о безопасности в «облаке»: что делает провайдер

© Habrahabr.ru