В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.

Технический обзор и примеры эксплуатации:
blog.exodusintel.com/2016/02/10/firewall-hacking

Узвимости подвержены следующие устройства:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance

Уже доступны исправленные версии ОС:
Базовая версия Исправление
7.2 9.1(6.11)
8.2 8.2(5.59)
8.3 9.1(6.11)
8.4 8.4(7.30)
8.5 не подвержена
8.6 9.1(6.11)
8.7 8.7(1.18)
9.0 9.0(4.38)
9.1 9.1(6.11)
9.2 9.2(4.5)
9.3 9.3(3.7)
9.4 9.4(2.4)
9.5 9.5(2.2)

На железки с 256 МБ ОЗУ можно установить версию 8.2.5(59) [MEGA].

Для большинства версий исправление доступно только в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM. Качайте их вручную с портала загрузки.
И не перепутайте файл прошивки: для одноядерных 5500 это просто asaXXX-k8.bin, для многоядерных 5500-X будет вида asaXXX-X-smp-k8.bin, а для FirePOWER имеет другое расширение asaXXX-X-lfbff-k8.SPA.

В версии 9.1.7 уже нашли баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств и теперь для закрытия уязвимости рекомендуют ставить 9.1(6.11). Его и другие проблемы обсуждают в /networking.

Обходное решение


В качестве обходного решения TAC предлагает фильтровать пакеты для портов 500 и 4500:
Here is an example of control plane ACL allowing access from 1.1.1.1 and denying everything else:
access-list test permit udp host 1.1.1.1 any eq 500
access-list test permit udp host 1.1.1.1 any eq 4500
access-list test deny udp any any eq 500
access-list test deny udp any any eq 4500
access-list test permit ip any any
access-group test in interface outside control-plane


P. S.

Зоркий глаз Sourg приметил абзац для тех, чей контракт истёк или потерялся. Пишите в TAC со ссылкой на бюллетень и серийным номером железки:
www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

P. P. S.

Вдохновившись бескорыстием Cisco, анонимус хотел выложить последние версии в свободный доступ, но заметил странное в просьбе юзернейма и впомнил про зависимости при обновлении без соблюдения которых можно потерять устройство, конфиг, здоровый сон и надежды на будущее. А ещё начиная с версии 8.3 выросли требования к ОЗУ.

Если вы уверены в своих силах и не боитесь приключений: читайте релизноты, делайте бекап и ищите прошивки на Рутрекере, Руборде, Антициско и MegaSearch.

Комментарии (10)