В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.
Технический обзор и примеры эксплуатации:
blog.exodusintel.com/2016/02/10/firewall-hacking
Узвимости подвержены следующие устройства:
Уже доступны исправленные версии ОС:
На железки с 256 МБ ОЗУ можно установить версию 8.2.5(59) [MEGA].
Для большинства версий исправление доступно только в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM. Качайте их вручную с портала загрузки.
И не перепутайте файл прошивки: для одноядерных 5500 это просто asaXXX-k8.bin, для многоядерных 5500-X будет вида asaXXX-X-smp-k8.bin, а для FirePOWER имеет другое расширение asaXXX-X-lfbff-k8.SPA.
В версии 9.1.7 уже нашли баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств и теперь для закрытия уязвимости рекомендуют ставить 9.1(6.11). Его и другие проблемы обсуждают в /networking.
В качестве обходного решения TAC предлагает фильтровать пакеты для портов 500 и 4500:
Зоркий глаз Sourg приметил абзац для тех, чей контракт истёк или потерялся. Пишите в TAC со ссылкой на бюллетень и серийным номером железки:
www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
Вдохновившись бескорыстием Cisco, анонимус хотел выложить последние версии в свободный доступ, но заметил странное в просьбе юзернейма и впомнил про зависимости при обновлении без соблюдения которых можно потерять устройство, конфиг, здоровый сон и надежды на будущее. А ещё начиная с версии 8.3 выросли требования к ОЗУ.
Если вы уверены в своих силах и не боитесь приключений: читайте релизноты, делайте бекап и ищите прошивки на Рутрекере, Руборде, Антициско и MegaSearch.
Технический обзор и примеры эксплуатации:
blog.exodusintel.com/2016/02/10/firewall-hacking
Узвимости подвержены следующие устройства:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco ISA 3000 Industrial Security Appliance
Уже доступны исправленные версии ОС:
| Базовая версия | Исправление |
|---|---|
| 7.2 | 9.1(6.11) |
| 8.2 | 8.2(5.59) |
| 8.3 | 9.1(6.11) |
| 8.4 | 8.4(7.30) |
| 8.5 | не подвержена |
| 8.6 | 9.1(6.11) |
| 8.7 | 8.7(1.18) |
| 9.0 | 9.0(4.38) |
| 9.1 | 9.1(6.11) |
| 9.2 | 9.2(4.5) |
| 9.3 | 9.3(3.7) |
| 9.4 | 9.4(2.4) |
| 9.5 | 9.5(2.2) |
На железки с 256 МБ ОЗУ можно установить версию 8.2.5(59) [MEGA].
Для большинства версий исправление доступно только в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM. Качайте их вручную с портала загрузки.
И не перепутайте файл прошивки: для одноядерных 5500 это просто asaXXX-k8.bin, для многоядерных 5500-X будет вида asaXXX-X-smp-k8.bin, а для FirePOWER имеет другое расширение asaXXX-X-lfbff-k8.SPA.
В версии 9.1.7 уже нашли баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств и теперь для закрытия уязвимости рекомендуют ставить 9.1(6.11). Его и другие проблемы обсуждают в /networking.
Обходное решение
В качестве обходного решения TAC предлагает фильтровать пакеты для портов 500 и 4500:
Here is an example of control plane ACL allowing access from 1.1.1.1 and denying everything else:
access-list test permit udp host 1.1.1.1 any eq 500
access-list test permit udp host 1.1.1.1 any eq 4500
access-list test deny udp any any eq 500
access-list test deny udp any any eq 4500
access-list test permit ip any any
access-group test in interface outside control-plane
P. S.
Зоркий глаз Sourg приметил абзац для тех, чей контракт истёк или потерялся. Пишите в TAC со ссылкой на бюллетень и серийным номером железки:
www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
P. P. S.
Вдохновившись бескорыстием Cisco, анонимус хотел выложить последние версии в свободный доступ, но заметил странное в просьбе юзернейма и впомнил про зависимости при обновлении без соблюдения которых можно потерять устройство, конфиг, здоровый сон и надежды на будущее. А ещё начиная с версии 8.3 выросли требования к ОЗУ.
Если вы уверены в своих силах и не боитесь приключений: читайте релизноты, делайте бекап и ищите прошивки на Рутрекере, Руборде, Антициско и MegaSearch.