Kritisk sårbarhet i Cisco ASA

Publisert: 11.02.2016 | Sist endret: 11.01.2017

Cisco har publisert informasjon om fire sårbarheter i sine produkter[1]. En av disse sårbarhetene, CVE-2016-1287, er vurdert som kritisk, og omtales i her.

Cisco ASA-systemer er en IP router som kan fungere som brannmur, nettverksantivirus, IPS, eller VPN-system. Når systemet er satt opp som VPN er det tilgjengelig fra internett, og gir ofte tilgang til bedriftens interne nettverk.

En buffer overflow i Cisco ASAs implementasjon av Internet Key Exchange (IKE) versjon 1 og 2 kan brukes til å få full kontroll over systemet, kjøre uønsket kode, eller omstarte systemet. IKE brukes av IPsec[3], som er en protokoll for å autentisere og kryptere IP-pakker. Teknologien brukes ofte som VPN.

Hvordan utnyttes sårbarheten

Sårbarheten utnyttes ved å sende spesielt utformede UDP-pakker til en appliance som kjører Cisco ASA. Det er kun systemer som er satt opp i «routed firewall»-modus som er sårbare. Pakkene kan sendes som både IPv4 og IPv6-trafikk.

Utnyttelse (oppdatert)

Angripere prøver å utnytte sårbarheten. SANS Internet Storm Senter [5] har observert en stor økning i antall skanninger etter UDP-port 500, som IKE-protokollen bruker.

Det er publisert en bloggpost hos Exodus Intelligence[4] om hvordan sårbarheten kan utnyttes, så det må antas at moduler til f.eks penetrasjonstestingsverktøyet Metasploit kan være tilgjengelig innen kort tid.

Påvirkede produkter

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance

Dette er de produkter som er oppgitt sårbare per nå. Sjekk Cisco SecurityAdvisory [2] for en oppdatert liste.

Påvirkede versjoner

  • Cisco ASA 7.2, 8.2, 8.3 og 8.6 er sårbare, men har også nådd End Of Life. Cisco anbefaler her oppgradering til 9.1(7) eller nyere.
  • Cisco ASA 8.5 er ikke påvirket av sårbarheten
  • Cisco ASA 8.4, 8.7, 9.0, 9.1, 9.2, 9.3, 9.4 og 9.5 er sårbare.
  • Oppdateringer er tilgjengelig for disse produktene.

Dette er de versjoner som er oppgitt sårbare per nå. Sjekk Cisco SecurityAdvisory [2] for en oppdatert liste.

NorCERT anbefaler 

Vi anbefaler oppgradering av påvirkede systemer. Det er ingen kjente workarounds bortsett fra oppgradering av systemene.

Kilder:

  1. https://tools.cisco.com/security/center/publicationListing.x
  2. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
  3. https://en.wikipedia.org/wiki/IPsec
  4. https://blog.exodusintel.com/2016/01/26/firewall-hacking/
  5. https://isc.sans.edu/forums/diary/20719