Критическая уязвимость межсетевых экранов Cisco ASA позволяет удаленно выполнять произвольный код01.02.2018 20:03

nc7nkizwz51lt-v5zy6sxwkempm.jpeg

Межсетевые экраны Cisco ASA подвержены критической уязвимости CVE-2018–0101, позволяющей злоумышленникам осуществлять удаленное выполнение произвольного кода. Кроме того, ошибка может приводить к отказу в обслуживании и провоцировать перезагрузку системы.

Проблему безопасности обнаружил исследователь Седрик Халбронн (Cedric Halbronn) из NCC Group, он планирует представить технические детали на конференции Recon 2018, которая пройдет в Брюсселе 2 февраля.

В чем проблема


Уязвимость была обнаружена в VPN-модуле Secure Sockets Layer (SSL) межсетевых экранов Cisco ASA. Согласно опубликованной компанией информации, при включенной опции webvpn ошибка приводила к попытках двойного освобождения региона памяти.

Для эксплуатации злоумышленнику необходимо сформировать специальные XML-пакеты и отправить их на интерфейс, на котором сконфигурирован webvpn — это откроет возможность выполнения произвольного кода и даст взломщику полный контроль над системой или приведет к перезагрузке устройства. Уязвимость получила наивысший балл критичности CVSS.

Среди уязвимых продуктов Cisco ASA:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • Межсетевые экраны ASA 5500-X Series Next-Generation
  • ASA Services Module для коммутаторов Cisco Catalyst 6500 Series и маршрутизаторов Cisco 7600 Series
  • Межсетевой экран ASA 1000V Cloud
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Модуль Firepower 9300 ASA Security
  • Firepower Threat Defense (FTD)


Уязвимость впервые появилась в продукте Firepower Threat Defense 6.2.2 в сентябре 2017 года — этот инструмент реализует функциональность удаленного VPN-доступа.

Как защититься


Cisco опубликовала бюллетень безопасности, в котором перечислены рекомендуемые меры по защите. Прежде всего администраторам устройств рекомендуется проверить их версию, и если она в списке уязвимых, установить выпущенные патчи. По данным Cisco Product Security Incident Response Team (PSIRT), на данный момент не зафиксировано попыток атак с применением обнаруженной уязвимости.

Также для обнаружения уязвимостей эксперты Positive Technologies рекомендуют использовать специализированные средства, например систему мониторинга защищенности и соответствия стандартам MaxPatrol.

© Habrahabr.ru