Sårbarheter i produkter fra Cisco

Publisert: 19.08.2016 | Sist endret: 11.01.2017

NorCERT har mottatt informasjon om fire sårbarheter i Cisco-produkter. To av sårbarhetener har alvorlighetsgraden "kritisk", mens to er merket "høy". I tillegg til disse fire sårbarhetene som omtales eksplisitt i dette varselet meldte Cisco om flere sårbarheter av mindre alvorlighetsgrad. For full oversikt over sårbarhetene Cisco melder om, se Cisco sine nettsider [1].

Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerability (Høy alvorlighetsgrad )

CVE-2016-6366

En sårbarhet i koden tilknyttet "Simple Network Management Protocol (SNMP)" i programvaren til Cisco "Adaptive Security Appliance (ASA)" kan gjøre det mulig for en uautentisert fjernangriper (remote attacker) å tvinge systemet til å laste inn på nytt, eller å kjøre kode fra en fjern lokasjon. Sårbarheten skyldes en "buffer overflow" i den berørte koden. En angriper kan utnytte denne sårbarheten ved å sende spesielt utformede SNMP-pakker til en berørt enhet. En angriper må kjenne SNMP "community string" for å utnytte denne sårbarheten.
Bare trafikk rettet mot det påvirkede systemet kan benyttes for å utnytte denne sårbarheten. Sårbarheten påvirker systemer konfigurert i "routed firewall mode" og "transparent firewall mode" samt i "single context mode" og "multiple context mode". Denne sårbarheten kan bare trigges av trafikk fra IPv4 [2]. Cisco har ikke publisert programvareoppdateringer for å mitigere denne sårbarheten og det er heller ingen "workarounds" tilgjengelige.

Berørte produkter:

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco PIX Firewalls
  • Cisco Firewall Services Module (FWSM)

Cisco Firepower Management Center Privilege Escalation Vulnerability
(Kritisk alvorlighetsgrad)

CVE-2016-1458

En sårbarhet i det webbaserte grafiske brukergrensesnittet til Cisco "Firepower Management Center" og Cisco "Adaptive Security Appliance (ASA) 5500-X series with FirePower services" kan gjøre det mulig for en autentisert fjernangriper (remote attacker) å heve privilegiene tilknyttet brukerkontoen på den berørte enheten [3]. Sårbarheten skal skyldes utilfredsstillende verifikasjon av inngangsverdier. Cisco har publisert programvareoppdateringer for å mitigere denne sårbarheten.

Berørte produkter:

  •  Cisco Firepower Management Center and ASA 5500-X Series with FirePOWER
    • Services versjonene 5.4.0, 5.3.1, 5.3.0, 5.2.0, and 4.10.3 er berørt.

Cisco Firepower Management Center Remote Command Execution Vulnerability
(Kritisk alvorlighetsgrad)

CVE-2016-1457

En sårbarhet i det webbaserte grafiske brukergrensesnittet til Cisco "Firepower Management Center" og Cisco "Adaptive Security Appliance (ASA) 5500-X series with FirePower services" kan gjøre det mulig for en autentisert fjernangriper (remote attacker) å kjøre kommandoer på et berørt system.
Sårbarheten skyldes utilfredsstillende verifikasjon av autorisasjonsdetaljer.

En vellykket utnytting av denne sårbarheten vil føre til at angriper kan utføre kommandoer med privilegier tilsvarende "root"-nivå [4]. Cisco har publisert programvareoppdateringer for å mitigere denne sårbarheten.

Berørt produkt:

  • Cisco Firepower Management Center
  • Cisco ASA 5500-X Series with FirePOWER Services
    • versjonene 5.4.0, 5.3.1, 5.3.0.4, 5.2.0 og 4.10.3.9 er berørt.

Cisco Application Policy Infrastructure Controller Enterprise Module
Remote Code Execution Vulnerability (Høy alvorlighetsgrad)

CVE-2016-1365

En sårbarhet i Grapevine oppdateringsprosessen til Cisco "Application Policy Infrastructure Controller Enterprise Module" (APIC-EM) kan gjøre det mulig for en autentisert fjernangriper (remote attacker)
å utføre kommandoer på det underliggende operativsystemet med privilegier tilsvarende "root"-nivå [5]. Cisco har publisert programvareoppdateringer for å mitigere denne sårbarheten.

Berørt produkt:

  • Cisco APIC-EM software release 1.0.

NorCERT anbefaler alle å oppdatere berørt programvare der dette er tilgjengelig. Merk at tre av sårbarhetene nevnt over kun kan utføres av en autentisert bruker noe som reduserer sannsynligheten
for disse angrepene. Den siste sårbarheten kan utnyttes av en uautentisert angriper og vil derfor lettere kunne utnyttes.

  1. https://tools.cisco.com/security/center/publicationListing.x
  2. http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
  3. http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-firepower
  4. http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-fmc
  5. http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-apic