В конце января компания Cisco сообщила о критической уязвимости CVE-2018-0101 в межсетевых экранах Cisco ASA. Она позволяла злоумышленникам удаленно выполнять вредоносный код, проводить DDoS-атаки и перезагружать систему.
На сегодняшний день уязвимость «закрыта».
Мы решили разобраться в ситуации и подробнее взглянуть на вектор атаки.
/ Flickr / Horst Gutmann / CC
Проблему обнаружил исследователь Седрик Халбронн (Cedric Halbronn) из консалтингового агентства по ИБ NCC Group. Она заключалась в XML-парсере межсетевого экрана Cisco Adaptive Security Appliance и была связана с выделением и освобождением памяти при обработке XML-сообщений.
Хакер мог направить WebVPN-интерфейсу целевого устройства специальным образом модифицированные XML-сообщения, чтобы несколько раз подряд высвободить участок памяти системы. Это приводило к сбою и давало злоумышленнику возможность запускать вредоносный код, менять данные в блоках системной памяти, проводить DDoS-атаки.
Всего уязвимость затронула более десяти решений Cisco, начиная от 3000 Series Industrial Security Appliance и файрволов ASA 5500-X Series Next-Generation до модулей Firepower Security Appliance и Firepower Threat Defense (FTD). Полный список можно найти по ссылке.
Еще специалисты Cisco обнаружили 13 уязвимых программных функций ASA.
Среди них AnyConnect IKEv2:
Решение для работы с политиками безопасности Cisco Security Manager:
А также REST API:
Еще в списке приведены функции Firepower Threat Defense – это активный HTTP Service, AnyConnect SSL VPN и AnyConnect IKEv2.
Уязвимости дали самую высокую оценку в рейтинге критичности CVSS. И как отметили в Cisco, возможности самостоятельно защититься от всех потенциальных угроз у пользователей не было (сохранив функциональность). Можно было лишь ограничить круг доверенных хостов, настроив доступ ASDM с помощью команды CLI:
http <remote_ip_address> <remote_subnet_mask> <interface_name>.
Поэтому компания Cisco в срочном порядке выпустила патчи, которые закрывали уязвимости. Однако несколько дней спустя выяснилось, что представленные разработчиками «заплатки» решали не все проблемы.
Компания провела дополнительное расследование и выяснила, что под угрозой находятся большее число решений. При этом первоначальные патчи создавали дополнительную DoS-уязвимость. После этого в компании Cisco поспешили выпустить новую серию обновлений и рекомендовали установить их как можно скорее.
К информации о новых обновлениях некоторые системные администраторы отнеслись без энтузиазма. Первые патчи уже были установлены, а повторный апдейт означал дополнительное время простоя.
Сейчас все обновления доступны в Cisco Software Center во вкладке Products > Security > Firewalls. На текущий момент уязвимость считается полностью закрытой, и, по данным Cisco, её не успели использовать для проведения хакерских атак.
На сегодняшний день уязвимость «закрыта».
Мы решили разобраться в ситуации и подробнее взглянуть на вектор атаки.
/ Flickr / Horst Gutmann / CC
В чем заключалась уязвимость
Проблему обнаружил исследователь Седрик Халбронн (Cedric Halbronn) из консалтингового агентства по ИБ NCC Group. Она заключалась в XML-парсере межсетевого экрана Cisco Adaptive Security Appliance и была связана с выделением и освобождением памяти при обработке XML-сообщений.
Хакер мог направить WebVPN-интерфейсу целевого устройства специальным образом модифицированные XML-сообщения, чтобы несколько раз подряд высвободить участок памяти системы. Это приводило к сбою и давало злоумышленнику возможность запускать вредоносный код, менять данные в блоках системной памяти, проводить DDoS-атаки.
Всего уязвимость затронула более десяти решений Cisco, начиная от 3000 Series Industrial Security Appliance и файрволов ASA 5500-X Series Next-Generation до модулей Firepower Security Appliance и Firepower Threat Defense (FTD). Полный список можно найти по ссылке.
Еще специалисты Cisco обнаружили 13 уязвимых программных функций ASA.
Среди них AnyConnect IKEv2:
crypto ikev2 enable <interface_name>
webvpn
anyconnect enable
Решение для работы с политиками безопасности Cisco Security Manager:
http server enable <port>
http <remote_ip_address> <remote_subnet_mask> <interface_name>
А также REST API:
rest-api image disk0:/<image name>
rest-api agent
Еще в списке приведены функции Firepower Threat Defense – это активный HTTP Service, AnyConnect SSL VPN и AnyConnect IKEv2.
Заплатки для уязвимости
Уязвимости дали самую высокую оценку в рейтинге критичности CVSS. И как отметили в Cisco, возможности самостоятельно защититься от всех потенциальных угроз у пользователей не было (сохранив функциональность). Можно было лишь ограничить круг доверенных хостов, настроив доступ ASDM с помощью команды CLI:
http <remote_ip_address> <remote_subnet_mask> <interface_name>.
Поэтому компания Cisco в срочном порядке выпустила патчи, которые закрывали уязвимости. Однако несколько дней спустя выяснилось, что представленные разработчиками «заплатки» решали не все проблемы.
Компания провела дополнительное расследование и выяснила, что под угрозой находятся большее число решений. При этом первоначальные патчи создавали дополнительную DoS-уязвимость. После этого в компании Cisco поспешили выпустить новую серию обновлений и рекомендовали установить их как можно скорее.
К информации о новых обновлениях некоторые системные администраторы отнеслись без энтузиазма. Первые патчи уже были установлены, а повторный апдейт означал дополнительное время простоя.
Сейчас все обновления доступны в Cisco Software Center во вкладке Products > Security > Firewalls. На текущий момент уязвимость считается полностью закрытой, и, по данным Cisco, её не успели использовать для проведения хакерских атак.