Критическая Уязвимость В Cisco Asa

Обновлено: 2024-10-19 21:10:22 Роман Иванов Вебмастеру 1

В операционной системе Cisco ASA обнаружена критическая уязвимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версий 1 и 2, который позволяет выполнить произвольный код или удаленно перезагрузить устройство с помощью специально созданного UDP-пакета.

Ему присвоен высший уровень опасности.

Технический обзор и примеры эксплуатации: blog.exodusintel.com/2016/02/10/firewall-hacking Следующие устройства подвержены уязвимостям:

  • Устройства адаптивной безопасности Cisco ASA серии 5500
  • Межсетевые экраны нового поколения Cisco ASA серии 5500-X
  • Сервисный модуль Cisco ASA для коммутаторов Cisco Catalyst серии 6500 и маршрутизаторов Cisco серии 7600
  • Облачный межсетевой экран Cisco ASA 1000 В
  • Виртуальное устройство адаптивной безопасности Cisco (ASAv)
  • Модуль безопасности Cisco Firepower 9300 ASA
  • Устройство промышленной безопасности Cisco ISA 3000
Уже доступны фиксированные версии ОС:
Базовая версия Коррекция
7.2 9.1(6.11)
8.2 8.2(5.59)
8.3 9.1(6.11)
8.4 8.4(7.30)
8.5 не восприимчивый
8.6 9.1(6.11)
8.7 8.7(1.18)
9.0 9.0(4.38)
9.1 9.1(6.11)
9.2 9.2(4.5)
9.3 9.3(3.7)
9.4 9.4(2.4)
9.5 9.5(2.2)
На железо с 256 МБ ОЗУ можно установить версию 8.2.5(59) [ МЕГА ].

Для большинства версий исправление доступно только в виде промежуточных версий, которые не видны при обновлении через ASDM. Загрузите их вручную с портал загрузки .

И не путайте файл прошивки: для одноядерной 5500 это просто asaXXX-k8.bin, для многоядерной 5500-X это будет выглядеть как asaXXX-X- СМП -k8.bin, а для FirePOWER он имеет другое расширение asaXXX-X- лфбфф -к8. СПА .

В версии 9.1.7 уже нашли ошибку, связанную с SNMP, которая может вызывать циклические перезагрузки некоторых устройств, и теперь рекомендуется установить 9.1 (6.11), чтобы закрыть уязвимость.

Эта и другие проблемы обсуждаются в /сеть .



Обходной путь

В качестве обходного пути TAC предлагает фильтровать пакеты для портов 500 и 4500:
Вот пример ACL плоскости управления, разрешающий доступ с 1.1.1.1 и запрещающий все остальное:

access-list test permit udp host 1.1.1.1 any eq 500 access-list test permit udp host 1.1.1.1 any eq 4500 access-list test deny udp any any eq 500 access-list test deny udp any any eq 4500 access-list test permit ip any any access-group test in interface outside control-plane



P.S.
Зоркий глаз Сург Я заметил абзац для тех, у кого контракт истек или утерян.

Напишите в ТАС ссылку на бюллетень и серийный номер железки: www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

П.

П.

С.

Вдохновленный самоотверженностью Cisco, анонимный пользователь хотел сделать последние версии бесплатными, но заметил странный в запросе имени пользователя и вспомнил про зависимости при обновлении, не соблюдая которые можно потерять устройство, конфиг, здоровый сон и надежды на будущее.

А также начало Начиная с версии 8.3, требования к оперативной памяти возросли.

Если вы уверены в своих силах и не боитесь приключений: читайте примечания к выпуску , делайте бэкапы и ищите прошивки на РуТрекере, Руборде, Антисиско и МегаПоиске.

Теги: #Cisco ASA #IKE #cve-2016-1287 #горячие выходные #информационная безопасность

Последнее изменение: 2024-10-19 21:10:22
Вместе с данным постом часто просматривают:

Автор Статьи

Роман Иванов

Роман Иванов
Эксперт
Зарегистрирован: 2019-12-10 15:07:06
Баллов опыта: 0
Всего постов на сайте: 0
Всего комментарий на сайте: 0

Интересно

Dima Manisha

Dima Manisha

 Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.