В конце января компания Cisco сообщила о критической уязвимости CVE-2018-0101 в межсетевых экранах Cisco ASA. Она позволяла злоумышленникам удаленно выполнять вредоносный код, проводить DDoS-атаки и перезагружать систему.

На сегодняшний день уязвимость «закрыта».

Мы решили разобраться в ситуации и подробнее взглянуть на вектор атаки.


/ Flickr / Horst Gutmann / CC

В чем заключалась уязвимость


Проблему обнаружил исследователь Седрик Халбронн (Cedric Halbronn) из консалтингового агентства по ИБ NCC Group. Она заключалась в XML-парсере межсетевого экрана Cisco Adaptive Security Appliance и была связана с выделением и освобождением памяти при обработке XML-сообщений.

Хакер мог направить WebVPN-интерфейсу целевого устройства специальным образом модифицированные XML-сообщения, чтобы несколько раз подряд высвободить участок памяти системы. Это приводило к сбою и давало злоумышленнику возможность запускать вредоносный код, менять данные в блоках системной памяти, проводить DDoS-атаки.

Всего уязвимость затронула более десяти решений Cisco, начиная от 3000 Series Industrial Security Appliance и файрволов ASA 5500-X Series Next-Generation до модулей Firepower Security Appliance и Firepower Threat Defense (FTD). Полный список можно найти по ссылке.

Еще специалисты Cisco обнаружили 13 уязвимых программных функций ASA.

Среди них AnyConnect IKEv2:

crypto ikev2 enable <interface_name>
webvpn
   anyconnect enable

Решение для работы с политиками безопасности Cisco Security Manager:

http server enable <port>
http <remote_ip_address> <remote_subnet_mask> <interface_name>

А также REST API:

rest-api image disk0:/<image name>
rest-api agent

Еще в списке приведены функции Firepower Threat Defense – это активный HTTP Service, AnyConnect SSL VPN и AnyConnect IKEv2.



Заплатки для уязвимости


Уязвимости дали самую высокую оценку в рейтинге критичности CVSS. И как отметили в Cisco, возможности самостоятельно защититься от всех потенциальных угроз у пользователей не было (сохранив функциональность). Можно было лишь ограничить круг доверенных хостов, настроив доступ ASDM с помощью команды CLI:

http <remote_ip_address> <remote_subnet_mask> <interface_name>.

Поэтому компания Cisco в срочном порядке выпустила патчи, которые закрывали уязвимости. Однако несколько дней спустя выяснилось, что представленные разработчиками «заплатки» решали не все проблемы.

Компания провела дополнительное расследование и выяснила, что под угрозой находятся большее число решений. При этом первоначальные патчи создавали дополнительную DoS-уязвимость. После этого в компании Cisco поспешили выпустить новую серию обновлений и рекомендовали установить их как можно скорее.

К информации о новых обновлениях некоторые системные администраторы отнеслись без энтузиазма. Первые патчи уже были установлены, а повторный апдейт означал дополнительное время простоя.


Сейчас все обновления доступны в Cisco Software Center во вкладке Products > Security > Firewalls. На текущий момент уязвимость считается полностью закрытой, и, по данным Cisco, её не успели использовать для проведения хакерских атак.

Несколько материалов из корпоративного блога 1cloud:

Комментарии (0)